Новый червь использует дыру в коде другого вируса, Hi-Tech

Новый червь использует дыру в коде другого вируса

17 мая 2004 года, 11:38 ; текст: Владимир Парамонов

Компания Symantec обнаружила новую вредоносную программу Dabber.A, способную заражать компьютеры с операционными системами Microsoft Windows 2000 и ХР. Червь в процессе распространения использует дыру в одном из компонентов вируса Sasser, благодаря чему может поразить миллионы ПК по всему миру.

Вредоносная программа Dabber.A сканирует Всемирную сеть в поисках систем с открытым портом 5554, что является "визитной карточкой" червя Sasser. Обнаружив соответствующую машину, Dabber.A посредством дыры в FTP-сервере Sasser пытается загрузить и установить свой основной компонент, носящий имя package.exe. Далее вирус модифицирует реестр, внося в него собственный ключ и удаляя записи, связанные с известными версиями вредоносной программы Sasser. Наконец, червь открывает "черный ход" на порту 9898, через который злоумышленники могут получить доступ к инфицированному компьютеру.

Червь Dabber.A написан на языке С++ и упакован при помощи UPX, размер файла - 29696 байт. На сегодняшний день вирус не получил широкого распространения. Впрочем, нельзя упускать из вида тот факт, что вредоносная программа проникает в системы, уже инфицированные Sasser, а таких насчитывается порядка 16 миллионов. Таким образом, теоретически, Dabber.A может спровоцировать глобальную эпидемию. Для защиты от червя необходимо установить обновленные антивирусные базы данных или же инсталлировать заплатку Microsoft, описанную в бюллетене безопасности MS04-011.