Новая брешь — новый червь

«Лаборатория Касперского» сообщила об обнаружении нового сетевого червя Autorooter и регистрации его массовой рассылки с помощью спам-технологий по электронной почте.

К счастью, функция автоматического размножения червя полностью не реализована, что исключает возможность его широкого распространения. Вместе с тем, Autorooter атакует брешь в операционной системе Windows версий NT/2000/XP, обнаруженную всего лишь 2 недели назад. «Лаборатория Касперского» не исключает возможности исправления недостатков этой версии червя и обращает внимание пользователей на необходимость немедленной установки соответствующего обновления для Windows.

Autorooter представляет собой гибрид сетевого червя и «троянца» для несанкционированного управления компьютером (backdoor). Вредоносная программа состоит из трех компонент: носителя червя, модуля для обмена файлами по FTP протоколу (FTP-сервер) и модуля атаки через брешь Windows.

Первым в бой вступает модуль атаки через брешь Windows: он вызывает переполнение буфера операционной системы и загружает на компьютер жертвы остальные компоненты. Данная брешь была обнаружена около месяца назад и компания Microsoft уже выпустила соответствующее обновление.

После этого запускается файл-носитель червя, который инициирует процедуры распространения и загрузки дополнительных модулей. Как указывалось выше, функция рассылки Autorooter полностью не реализована, поэтому у червя фактически отсутствует возможность распространения по Интернету. Вместе с тем, с помощью встроенного FTP-сервера Autorooter успешно загружает с удаленного сервера и устанавливает троянскую программу IRCbot, которая позволяет злоумышленникам незаметно управлять зараженным компьютером.

«Мы предполагаем, что данный образец является всего лишь тестовым вариантом червя. В будущем весьма возможно появление более жизнеспособных версий, которые смогут причинить Интернету огромный вред, — комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского», — Не исключено, что целью автора Autorooter является создание распределенной сети взломанных машин для проведения крупномасштабных вирусных или хакерских атак».

Процедуры защиты от Autorooter уже добавлены в базу данных Антивируса Касперского. Для защиты от червя также рекомендуется установить обновление Microsoft и заблокировать на межсетевых экранах TCP порты 135, 139 и 445.

Источник: www.softkey.info