Лаборатория Касперского" сообщает о появлении новой версии интернет-червя "Doomjuice" - "Doomjuice.b". Принцип распространения данной вредоносной программы - тот же, что использовался ее предшественником, обнаруженным 9 февраля. Червь производит сканирование адресного пространства интернета в поисках компьютеров, зараженных сетевыми червями "Mydoom.a" или "Mydoom.b". Установив соединение с пораженной машиной через открытый "Mydoom" порт 3127, "Doomjuice.b" пересылает на нее свою копию, а троянская компонента "Mydoom" запускает полученный файл. В то же время, функциональное предназначение "Doomjuice.b" сосредоточено исключительно на DoS-атаке веб-сайта компании Microsoft, www.microsoft.com. Скопировав себя при запуске в системный каталог Windows под именем "REGEDIT.EXE", и зарегистрировав данный файл в ключе автозапуска системного реестра, червь проверяет системную дату. В случае, если текущая дата находится в промежутке между 8 и 12 числом месяца, - функция DoS-атаки не запускается. Также червь не производит DoS-атаку в январе. Таким образом, "Doomjuice.b" будет осуществлять DoS-атаку на сайт www.microsoft.com каждый месяц, за исключением января, с 1-го по 8-е число и с 12-го числа до конца месяца. Для проведения DoS-атаки червь отсылает множественные запросы на 80-й порт сайта www.microsoft.com. При этом используется уникальная для данного вида вирусов технология генерации обращения к серверу - строка созданного червем запроса полностью имитирует формат запроса от популярного веб-браузера Internet Explorer. Это исключает возможность блокирования обращений от зараженных компьютеров, так как ни одно средство сетевой фильтрации не сможет отличить запрос обычного пользователя от инициированного червем. Данная функция значительно увеличивает деструктивный эффект DoS-атаки червя Doomjuice.b. Если эта вредоносная программа получит широкое распространение, дальнейшая жизнеспособность интернет-ресурса компании Microsoft будет поставлена под серьезное сомнение.
Источник - http://www.kaspersky.ru