Недавно была зарегистрирована очередная версия известного червя Conficker, обозначенная как Conficker.e. Предыдущая версия этого червя организовала одноранговую сеть, с помощью которой вирус обновился на большинстве заражённых компьютеров. Новый вариант вируса загружает обновление, которое показывает множество всплывающих окон и предупреждений о возможности заражения вирусами, пока пользователь не согласится заплатить ни много, ни мало $49.95. Если вспомнить, что количество заражённых компьютеров составляет несколько миллионов, то станет ясно, что речь идёт об очень большой сумме. Авторы Conficker наконец-то показали, к чему они стремились: нажива.
Старший специалист Trend Micro по исследованию угроз Пол Фергюсон (Paul Ferguson) рассказал много интересных сведений о новой версии червя Conficker.
Во-первых, по его мнению, деятельность этого червя остановится 3 мая 2009 года, то есть менее чем через месяц. Было бы, конечно, неплохо, однако это маловероятно. Во вторых, при установке червь использует случайное имя файла и случайное имя сервиса. После установки он удаляет предыдущую версию и исправляет ошибку, благодаря которой он проник на компьютер. По сети этот вирус распространяется, используя ошибку, исправленную в октябрьском обновлении Windows MS08-067, то есть компьютеры, на которые установлено это обновление, не могут быть заражены по сети, локальной или глобальной. Он открывает порт 5114 и выступает в качестве HTTP-сервера.
Он также соединяется с myspace.com, msn.com, ebay.com, cnn.com и aol.com. А после запуска он удаляет все записи о себе, включая все файлы, реестры, истории и т.д. Фергюсон также отметил, что, вероятно, Conficker связан с вирусом Waledac, так как схемы некоторых их действий достаточно сильно похожи, хотя это вполне может быть случайным совпадением.
Источник: www.tgdaily.com/
|