Justin Polazzo из Технологического института шата Джоржия сообщает о появившемся вчера новом распространяющемся трояне. Как показал анализ, червь приходит по почте в виде присоединённого файла под названием ndemon.exe (.99 К). При запуске прописывает своё тело в директории c:winnt и c:winntsystem32 и добавляет ключи в реестр HKLMSoftwareMicrosoftCurrentVersionRun, HKLMSoftwareMicrosoftCurrentVersionRunServices. После этого пытается распространить себя в локальной сети через порты 135 и 139, используя известные уязвимости и предопределённый список паролей. Также слушает запросы от других инфицированных машин на порту 1025, а также сканировать сервера с запущенным IIS (порт 80) на наличие известных уязвимостей этого сервера. Инфициррованные машины были запущены под управлением win2k SP4 (все патчи) с установленным антивирусом Symantec AV v8.6.
Источник