Украинский Антивирусный Центр сообщает о начале эпидемии, вызванной новым червем I-Worm.Maslan. В данный момент зафиксированы заражения во многих регионах Украины: Львов, Днепропетровск, Киев и др.
Резидентный многокомпонентный червь I-Worm.Maslan, распространяется по электронной почте, доставляется в виде присоединённого к письму файла PlayGirls2.exe и после попададния в систему создаёт в системной папке Windows (WINDOWS/SYSTEM32) файлы со своими компонентами (___r.exe, ___n.exe,___synmgr.exe), после чего в реестре создаются записи, приводящие к автоматическому запуску червя при загрузке операционной системы.
После активации червь удаляет из памяти ряд процессов, которые относятся к антивирусным продуктам и другим программам информационной защиты.
Размножение по электронной почте происходит по следующей схеме: червь перебирает на локальных дисках файлы, из которых извлекаются адреса электронной почты, по которым производится дальнейшая рассылка писем.
I-Worm.Maslan содержит в себе Backdoor-модуль (___synmgr.exe), производящий подключение к IRC серверу, после чего ожидает команду от удалённого пользователя. При этом злоумышленнику доступен следующий набор команд:
- Загрузка файлов на компьютер и их запуск;
- Отслеживание нажимаемых на клавиатуре клавиш;
- Проведения DoS атак на компьютеры в локальной сети (SYN-атака);
- Удаление из памяти процессов;
- Обновление самого себя.
Замечено, что червь также использует уязвимость ОС Windows RPC DCOM Buffer Overflow (MS03-026) для удаленного запуска команд.