Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Антивирусное обозрение "Ежики"


Информационный Канал Subscribe.Ru


Proantivirus Lab предупреждает пользователей о распространении нового интернет-червя.
Для надежной защиты от нового червя обновите ваши базы!

Worm.Win32.Sasser (семейство)

Тип: Интернет-Червь (Worm) 
Длина: 15'872 байт (упакован ZiPack),  
Патч для ОС: Исправление уязвимости Windows
(http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx)

Интернет-червь. Червь использует уязвимость в службе LSASS Microsoft
Windows. Червь написан на языке C, с использованием компилятора Visual C.

При запуске червь копирует себя в папку Windows с именем avserve.exe и
создает в системном реестре ключ для собсвенной загрузки в память при
старте системы.  

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = C:\WINDOWS\avserve.exe 


Червь сканирует IP-адреса с открытым TCP-портом 1068. Компьютер-жертва
запускает командную оболочку "cmd.exe" (TCP-порт 9996) и принимает
команду на загрузку и запуск копии червя.  

После этого червь запускает FTP-сервер (TCP-порту 5554) и по запросу с
компьютера-жертвы загружает туда свою копию. 

В корневом каталоге диска C: червь создает файл win.log в котором
содержится IP адрес данного компьютера. 

Загруженная копия имеет имя "#_up.exe", где # - случайное число.


-- 
Proantivirus Lab
http://www.proantivirus.com
Monday, May 3, 2004, 2:53:54 PM (GMT+2)

Антивирус Stop! 4.00

http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу


В избранное