Червь Net-Worm.Win32.DipNet.d

15/01/2005 16:16

"Лаборатория Касперского" сообщает о появлении червя Net-Worm.Win32.DipNet.d. Является сетевым вирус-червем, заражающим компьютеры под управлением Windows. Является приложением Windows (PE EXE-файл), имеет размер около 91 КБ, упакован UPX. Размер распакованного файла около 264 KБ. Вирус распространяется, используя уязвимость Microsoft Windows LSASS (MS04-011). Червь содержит в себе 'бекдор' - функцию. После запуска червь копирует себя в системный каталог Windows с произвольным именем. Например: %System%wcss.exe. После чего создает сервис с именем 'WebPoster'. Затем червь регистрирует этот файл в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "WinNetDDE" = "%System%произвольное имя.exe". После чего оригинальный файл червя удаляется. Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость LSASS, запускает на удаленной машине свой код. Червь открывает на зараженной машине TCP порт 11768 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. На зараженном компьютере червь открывает один из следующих интернет сайтов с целью проверки существования соединения с интернетом: www.yahoo.com, www.ebay.com, www.google.com.
"Лаборатория Касперского"