8 декабря 2004, 23:31

Новая эпидемия червя I-Worm.Maslan

Украинский Антивирусный Центр сообщает о начале эпидемии, вызванной новым червем I-Worm.Maslan. В данный момент зафиксированы заражения во многих регионах Украины: Львов, Днепропетровск, Киев и др.

Резидентный многокомпонентный червь I-Worm.Maslan, распространяется по электронной почте, доставляется в виде присоединённого к письму файла PlayGirls2.exe и после попададния в систему создаёт в системной папке Windows (WINDOWS/SYSTEM32) файлы со своими компонентами (___r.exe, ___n.exe,___synmgr.exe), после чего в реестре создаются записи, приводящие к автоматическому запуску червя при загрузке операционной системы.

После активации червь удаляет из памяти ряд процессов, которые относятся к антивирусным продуктам и другим программам информационной защиты.

Размножение по электронной почте происходит по следующей схеме: червь перебирает на локальных дисках файлы, из которых извлекаются адреса электронной почты, по которым производится дальнейшая рассылка писем.

I-Worm.Maslan содержит в себе Backdoor-модуль (___synmgr.exe), производящий подключение к IRC серверу, после чего ожидает команду от удалённого пользователя. При этом злоумышленнику доступен следующий набор команд: 

  • Загрузка файлов на компьютер и их запуск; 
  • Отслеживание нажимаемых на клавиатуре клавиш; 
  • Проведения DoS атак на компьютеры в локальной сети (SYN-атака); 
  • Удаление из памяти процессов; 
  • Обновление самого себя. 

Замечено, что червь также использует уязвимость ОС Windows RPC DCOM Buffer Overflow (MS03-026) для удаленного запуска команд.

Оцените новость:
  • 0 оценок