Анализ червя, использующего уязвимость WINS

8/01/2005 15:05

Червь, который использует уязвимость, обнаруженную в службе WINS (MS04-045), обнаружен в диком виде и назван антивирусной компанией Troj/Winser-A. Stephen J Friedl проанализировал исходный код червя и поделился с остальным секьюрити-сообществом результатами своего анализа. Файл, заражающий компьютер имеет название ccEvtMngr.exe (139КБ), маскируется в системе под именем ccevtmgr, службой, под именем которой обычно выступает Symantec Event Manager Service. Заражённые машины управляются с IRC-сервера irc.bel3c.com, с которым заражённая машина соединяется, выходя на канал #shhplz с паролем nono. С более подробным анализом, а также с файлами трояна желающие могут ознакомиться, посетив приведённую ниже ссылку.
Анализ трояна