О появлении нового трояна W32.Sykel сообщает Symantec. Заражает удалённые компьютеры через дыру в LSASS (бюллетень MS04-011) и пытается распространить себе через сеть KaZaA. Из-за типа используемой уязвимости поражает только компьютеры под управлением Windows XP/2K/NT. Тело трояна имеет размер 17,920 байт. После заражения создаёт ключ реестра: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRuniestart] = %System%iexp1orer.exe. Копирует себя в директории разделяемых (общих) папок для Kazaa и ICQ под именами: fantasy.scr, you the best.scr, pinguin5.exe, hello.pif, myfack.pif, icqcrack.exe, antibush.scr, mylove.pif, newvirus.exe, matrix.scr, rulezzz.scr, mymusic.pif, 1.exe, winamp5.exe и т.д. (см. полный отчёт). После этого пытается соединиться со случайным IP-адресом (порт 445), в случае успеха посылает шелл-код, который открывает удалённый доступ на случайном TCP-порту. Cоединяется опять с FTP-сервером с порта, используемого предыдущей открытой оболочкой и скачивает тело трояна. Посылает сообщения пользователям ICQ из контактного листа с предложением посетить определённые URL, на которых уже присутствуют трояны W32.Mydoom.V@mm или Backdoor.Nemog.C. Опубликованы процедуры по защите (как ни странно, но ещё есть довольно много компьютеров, которые не пропатчены) и удалению трояна.
Подробное описание