Inwazja klonów MyDoom
W ciągu ostatnich kilku godzin pojawiły się aż cztery kolejne wirusy nawiązujące do epidemii Mydooma: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) oraz Mitglieder.A (W32/Mitglieder.A.worm). Nachi.B jest nowym wariantem robaka, który po raz pierwszy został wykryty w sierpniu 2003.
Jego poprzednik usuwał z komputera robaka W32/Blaster, Nachi.B usuwa Mydooma. Rozprzestrzeniając się wykorzystuje następujące luki w zabezpieczeniach systemu Windows:
- RPC DCOM (MS03-26) buffer overflow
- IIS WebDav (MS03-07)
- Workstation Service Overflow (MS03-049)
Nachi.B rozprzestrzenia się samodzielnie przez Internet dostając się na komputery o otwartych portach TCP/IP o numerach 80, 135 i 445. Zapisuje się na komputerze pod nazwą WskPatch.exe. Uruchamia się automatycznie i tworzy plik Svchost.exe, również z kodem robaka Nachi.B.
Robak usuwa z komputera wszystkie pliki i klucze w Rejestrze Systemowym utworzone przez dowolną odmian Mydooma.
DoomHunter.A jak może się wydawać, powstał z pobudek altruistycznych, ponieważ usuwa nie tylko Mydoom.A .B, ale także Blastera i dwie odmiany Doomjuice.
DoomHunter.A dostaje się na komputery przy użyciu "tylnej furtki" zakładanej na komputerach zarażonych Mydoomem. Tworzy na komputerze plik worm.exe, a następnie kasuje pliki i wpisy Mydooma. Zostawia jednak otwarty port TCP o numerze 3127 (ten, przez który wchodzi) i stara się rozprzestrzeniać na inne komputery za jego pośrednictwem.
Deadhat.B jest udoskonaloną wersją wirusa, który pojawił się kilka dni temu. Dostaje się na komputery zainfekowane robakiem Mydoom.A i .B. Wykorzystuje także program do internetowej wymiany plików SoulSeek.
Po wejściu, Deadhat.B torzy plik msgsvr32.exe, a także zapisuje się w folderach udostępnianych użytkownikom SoulSeek.
Następnie deaktywuje procesy uruchamiane przez Mydooma.A i .B, ale także, co jest bardzo niebezpieczne, programy zabezpieczające (antywirusy i osobiste firewalle). Modyfikuje także Rejestr, by móc uruchamiać się automatycznie przy każdym starcie systemu Windows.
Deadhat.B może także kasować pliki systemowe i przyjmować polecenia od hakerów za pośrednictwem kanału IRC.
Mitglieder.A instaluje się na komputerze w ten sam sposób, jak DoomHunter i DeadHat. Tworzy plik system.exe. Zatrzymuje dodatkowo pracę wielu programów i stara się uniemożliwić usunięcie z systemu.
Szczegółowe opisy szkodników i bezpłatne narzędzia do ich usuwania znaleźć można w Encyklopedii Wirusów na stronie internetowej PogoToVia AntyVirusowego Panda Software (www.pogotovie.pl)
