Вирусная лаборатория PandaLabs зарегистрировала появление новых червей, связанных с эпидемиями червей Mydoom: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) и Mitglieder.A (W32/Mitglieder.A.worm).
Nachi.B - это новая версия печально известного вредоносного кода, появившегося в августе 2003 года. Как и его предшественник, червь пытается внушить, что он выполняет своего рода благородную миссию, очищая компьютеры от других вирусов. Несмотря на то, что Nachi.B удаляет Mydoom.A и Mydoom.B с зараженных компьютеров, пользователи за это платят высокую цену, поскольку после этого червь начинает распространяться через следующие бреши Windows:
- RPC DCOM (MS03-26) buffer overflow
- IIS WebDav (MS03-07)
- Workstation Service Overflow (MS03-049)
Nachi.B распространяется непосредственно через Интернет, находя компьютеры с незащищенными портами TCP/IP 80, 135 и 445. После обнаружения жертвы червь начинает атаку, загружая свою копию на компьютер под именем WskPatch.exe. Этот файл запускается автоматически и создает другой файл - Svchost.exe, который также содержит копию кода Nachi.B.
Если компьютер заражен одним из червей Mydoom, Nachi.B удаляет все файлы, связанные с этими червями, а также записи, внесенные ими в реестр Windows.
DoomHunter.A создан с еще более альтруистическими мотивами: он удаляет не только Mydoom.A и Mydoom.B, но также Blaster и Doomjuice.
DoomHunter.A попадает на компьютеры через лазейки, оставленные Mydoom, и создает файл worm.exe. При обнаружении какого-либо из перечисленных выше червей, он удаляет все его следы. Кроме того, червь открывает и просматривает порт TCP 3127. Если ему не удается открыть его сразу, он продолжает попытки каждые 5 секунд. При обнаружении активности он отправляет свою копию на удаленный компьютер, пытающийся получить доступ через данный порт.
Deadhat.B - это усовершенствованная версия вируса, впервые появившегося несколько дней назад. При распространении он попадает на компьютеры непосредственно через Интернет, используя лазейки, созданные Mydoom.A и Mydoom.B. Также он способен распространяться, используя программу обмена файлами SoulSeek. После попадания на компьютер Deadhat.B создает свою копию в файле msgsvr32.exe, а также несколько файлов с различными именами в общей папке SoulSeek.
После этого он завершает все процессы Mydoom.A и Mydoom.B, а также процессы, принадлежащие различным приложениям, включая некоторые антивирусы и программы безопасности. Также он создает новую запись в реестре Window для обеспечения своего запуска при каждой загрузке системы.
В определенных обстоятельствах Deadhat.B способен удалять некоторые важные системные файлы, а также соединяется с каналом IRC, ожидая команд от своего автора.
Наконец, Mitglieder.A также попадает в системы через лазейки, оставленные червями Mydoom, копируя себя в систему под именем system.exe. Он завершает процессы определенных приложений и создает запись в Реестре Windows для обеспечения своего сохранения на компьютере.
