Fwd: Опасность! Новый вирус: Worm.Win32.Sasser
This is a forwarded message
To: pro***@m*****.ua <pro***@m*****.ua>
===8<==============Original message textProantivirus Lab предупреждает пользователей о распространении нового интернет-червя.
Для надежной защиты от нового червя обновите ваши базы!
Worm.Win32.Sasser (семейство)
Тип: Интернет-Червь (Worm)
Длина: 15'872 байт (упакован ZiPack),
Патч для ОС: Исправление уязвимости Windows (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx)
Интернет-червь. Червь использует уязвимость в службе LSASS Microsoft
Windows. Червь написан на языке C, с использованием компилятора Visual C.
При запуске червь копирует себя в папку Windows с именем avserve.exe и
создает в системном реестре ключ для собсвенной загрузки в память при
старте системы.
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = C:\WINDOWS\avserve.exe
Червь сканирует IP-адреса с открытым TCP-портом 1068. Компьютер-жертва
запускает командную оболочку "cmd.exe" (TCP-порт 9996) и принимает
команду на загрузку и запуск копии червя.
После этого червь запускает FTP-сервер (TCP-порту 5554) и по запросу с
компьютера-жертвы загружает туда свою копию.
В корневом каталоге диска C: червь создает файл win.log в котором
содержится IP адрес данного компьютера.
Загруженная копия имеет имя "#_up.exe", где # - случайное число.
