Компания Symantec Довольно оперативно провела анализ нового червя, о появлении которого мы писали чуть ниже. Помимо обычного анализа червя были выявлены довольно любопытные подробности. Так, при заражении червём устанвливается компонент shimgapi.dll (ключ HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32), который запускает прокси-сервера на портах 3127-3198, слушающий запрос на установление соединения. Также устанавливаемыый бэкдор позволяет загружать произвольные файллы на заражённую машину и запускать их. В период между 1-12 февраля нынешнего года червь запускает DoS-атаку на лучшего "друга" всех юниксоидов - сайт компании SCO (www.sco.com). Для этого с каждой заражённой машины формируется 64 GET-запроса по протоколу http (порт 80/tcp). Уязвимы для червя ОС: Win9x/ME, NT/XP/2K/2003. Более подробный анализ и процедура удаления доступны на сайте Symantec по ссылке, приведённой ниже.
Подробности - http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html