MyDoom-viiruse autor kirjutas uue jälgi segava ussi Doomjuice
TALLINN, 11. veebruar (EPLO) – Viirusetõrjetootja Kaspersky avastas esmaspäeval Mydoom-viiruse autori loodud Doomjuice’i, mis on juba nakatanud maailmas üle 100 000 arvuti.
Kaspersky spetsialistide andmetel on Doomjuice kirjutanud tänapäeva kõige ohtlikuma viiruse Mydoom autor teda paljastavate jälgede peitmiseks. Lisaks sellele võimaldab uus internetiuss korraldada veel ulatusliku Microsofti veebilehe vastase DoS-rünnaku, kasutades nende eesmärkide teostamiseks Mydoom.a-ga nakatunud arvuteid.
Doomjuice’iga nakatunud arvutite arvu intensiivne kasv on seletatav selle paljunemismehhanismiga. Globaalvõrkudes leviv uss kasutab paljunemiseks juba mõne ussi I-Worm.Mydoom versiooniga nakatunud arvuteid, tungides neile läbi Mydoomi trooja komponendi poolt käskluste vastuvõtuks avatud TCP pordi 3127. Juhul, kui nakatunud arvuti ussi päringule vastab, saadab Doomjuice sellele oma koopia, mille Mydoomi trooja komponent vastu võtab ja käivitab.
Pärast käivitamist kopeerib uss end Windowsi süsteemikausta nimega “INTRENAT.EXE” ja registreerib selle faili süsteemiregistri automaatkäivituse sektsioonis, tagamaks enda aktiveerimist igal arvuti alglaadimisel. Seejärel asub Doomjuice täitma talle autori seatud põhiülesannet. Võtnud oma kehast välja faili “SYNC-SRC-1.00.TBZ” kopeerib ta selle juurkausta, kaustadesse Windows ja System ning kasutajakaustadesse Documents ja Settings. Antud fail kujutab endast I-Worm.Mydoom.a täielikke lähtetekste sisaldavat TAR arhiivi.
Selle mõtteks on paigutada Mydoom.a originaaltekstid võimalikult suurele hulgale arvutitele, et ei saaks tuvastada viiruse konkreetset autorit, sest kui Mydoom.a koodi lähtenäidised asuvad kümnetel tuhandetel kõvaketastel üle kogu maailma on praktiliselt võimatu seostada neid teatud kindla isikuga.
Lisaks sellele korraldab Doomjuice DoS-rünnaku veebilehele www.microsoft.com, tehes seda kuni 12. veebruarini 2004 “kerges režiimis”, saates lehe 80 pordile ühe GET päringu ja korrates seda suvalise aja järel. Peale nimetatud päeva käivitub DoS-rünnak aga täie võimsusega, ilma vaheaegadeta ning arvestades Mydoomiga nakatunud arvutite hiiglaslikku hulka, võib Doomjuice edasine levik ohustada reaalselt juhtiva tarkvaratootja internetiressursi häireteta tööd.
“Lisaks soovile segada Mydoomi loonud isikute väljaselgitamist, võib viiruse originaaltekstide massiline levitamine põhjustada selle kuritegeliku koodi uute versioonide hiigellaine, sest omades Mydoom.a lähtetekste võib iga programmeerimispõhimõtteid tundev inimene seda kloonida, mistõttu on täiesti võimalik, et lähiajal ootab internetti ulatuslik pommitamine Mydoomi replikantidega,” ütles Kaspersky Labi antiviirusuuringute juhataja Jevgeni Kasperski.
|
VE: Doomjuice – MyDoom-viiruse jätke
(08:38 11.02.2004)
TALLINN, 11. veebruar (EPLO) – Viirusetõrjetootja Kaspersky avastas esmaspäeval Mydoom-viiruse autori loodud Doomjuice’i, mis on juba nakatanud maailmas üle 100 000 arvuti.
Kaspersky spetsialistide andmetel on Doomjuice kirjutanud tänapäeva kõige ohtlikuma viiruse Mydoom autor teda paljastavate jälgede peitmiseks. Lisaks sellele võimaldab uus internetiuss korraldada veel ulatusliku Microsofti veebilehe vastase DoS-rünnaku, kasutades nende eesmärkide teostamiseks Mydoom.a-ga nakatunud arvuteid.
Doomjuice’iga nakatunud arvutite arvu intensiivne kasv on seletatav selle paljunemismehhanismiga. Globaalvõrkudes leviv uss kasutab paljunemiseks juba mõne ussi I-Worm.Mydoom versiooniga nakatunud arvuteid, tungides neile läbi Mydoomi trooja komponendi poolt käskluste vastuvõtuks avatud TCP pordi 3127. Juhul, kui nakatunud arvuti ussi päringule vastab, saadab Doomjuice sellele oma koopia, mille Mydoomi trooja komponent vastu võtab ja käivitab.
Pärast käivitamist kopeerib uss end Windowsi süsteemikausta nimega “INTRENAT.EXE” ja registreerib selle faili süsteemiregistri automaatkäivituse sektsioonis, tagamaks enda aktiveerimist igal arvuti alglaadimisel. Seejärel asub Doomjuice täitma talle autori seatud põhiülesannet. Võtnud oma kehast välja faili “SYNC-SRC-1.00.TBZ” kopeerib ta selle juurkausta, kaustadesse Windows ja System ning kasutajakaustadesse Documents ja Settings. Antud fail kujutab endast I-Worm.Mydoom.a täielikke lähtetekste sisaldavat TAR arhiivi.
Selle mõtteks on paigutada Mydoom.a originaaltekstid võimalikult suurele hulgale arvutitele, et ei saaks tuvastada viiruse konkreetset autorit, sest kui Mydoom.a koodi lähtenäidised asuvad kümnetel tuhandetel kõvaketastel üle kogu maailma on praktiliselt võimatu seostada neid teatud kindla isikuga.
Lisaks sellele korraldab Doomjuice DoS-rünnaku veebilehele www.microsoft.com, tehes seda kuni 12. veebruarini 2004 “kerges režiimis”, saates lehe 80 pordile ühe GET päringu ja korrates seda suvalise aja järel. Peale nimetatud päeva käivitub DoS-rünnak aga täie võimsusega, ilma vaheaegadeta ning arvestades Mydoomiga nakatunud arvutite hiiglaslikku hulka, võib Doomjuice edasine levik ohustada reaalselt juhtiva tarkvaratootja internetiressursi häireteta tööd.
“Lisaks soovile segada Mydoomi loonud isikute väljaselgitamist, võib viiruse originaaltekstide massiline levitamine põhjustada selle kuritegeliku koodi uute versioonide hiigellaine, sest omades Mydoom.a lähtetekste võib iga programmeerimispõhimõtteid tundev inimene seda kloonida, mistõttu on täiesti võimalik, et lähiajal ootab internetti ulatuslik pommitamine Mydoomi replikantidega,” ütles Kaspersky Labi antiviirusuuringute juhataja Jevgeni Kasperski.