3 czerwca 2004

Mydoom Reaktywacja - nowy robak wykorzystuje kod Mydooma

Eksperci z firmy Kaspersky Lab wykryli nowego, potencjalnie niebezpiecznego robaka internetowego. Plexus.a rozprzestrzenia się za pośrednictwem trzech mediów: zainfekowanych wiadomości e-mail, sieci P2P służących do wymiany plików w internecie, a także luk w zabezpieczeniach systemów Windows (LSASS oraz RPC DCOM). Szczegółowa analiza szkodnika wykazała, że autor wykorzystał kod źródłowy robaka Mydoom. Jedną z funkcji nowego szkodnika jest uniemożliwienie pobierania uaktualnień antywirusowych baz danych programu Kaspersky Anti-Virus.

Generowane przez robaka zainfekowane wiadomości e-mail występują w pięciu wersjach. Różnią się tematem, treścią oraz nazwą załącznika. Jedynie rozmiar szkodnika pozostaje bez zmian - zawsze jest to 16 208 bajtów (kompresja FSG, rozmiar po rozpakowaniu - 57 856 bajtów).

Szkodnik posiada dwie funkcje dodatkowe. Pierwsza z nich utrudnia życie użytkownikom programów Kaspersky Anti-Virus. Szkodnik uniemożliwia automatyczne pobieranie uaktualnień antywirusowych baz danych. Druga funkcja stanowi zagrożenie dla wszystkich - robak otwiera port 1250, co pozwala hakerowi na zapisywanie i uruchamianie dowolnych aplikacji na zainfekowanym komputerze.

Szczegółowy opis robaka Plexus.a dostępny jest pod adresem:

http://kaspersky.pl/about.html?s=news&newsid=573

Łaty usuwające luki wykorzystywane przez robaka można pobrać z biuletynów firmy Microsoft: