"Лаборатория Касперского" сообщает об обнаружении двух версий нового сетевого червя Worm.Win32.Padobot. Червь распространяется, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. После заражения инфицированная машина выводит сообщение об ошибке "LSASS service failing", после чего может попытаться перезагрузиться. Червь открывает на зараженной машине порты TCP 113, 3067 и 2041 для приема команд. При запуске червь копирует себя в системный каталог Windows с произвольным именем и регистрируется в ключе автозапуска системного реестра:[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] "WinUpdate"="%system%[имя файла]".
Также создает ключ: [HKLMSOFTWAREMicrosoftWireless] "Server"="1". Создает в памяти уникальные идентификаторы "10", "u2", и "uterm5" для определения своего присутствия в системе.
Лаборатория Касперского