Červ DoomJuice připravuje půdu pro nový DoS útok

Nově se šířící červ HLLW.Doomjuice zneužívá stejně jako jeho předchůdce HLLW.Deadhat zadní vrátka, vytvořená na napadeném počítači červem Mydoom.A nebo Mydoom.B.

Červ si na každém počítači testuje, zda již jeho proces neběží. Pokud ano, nedojde nikdy k jeho dalšímu spuštění.

Vlastní tělo červa je nakopírováno do systémového adresáře Windows pod názvem intrenat.exe. Tento soubor je i jedním z identifikačních znaků nákazy. Do systémového registru je z důvodů automatického spuštění po restartu systému zavedena hodnota "Gremlin" = "%System%\intrenat.exe" do následujících klíčů:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Červ dále vytvoří soubor sync-src-1.00.tbz o délce 28 569 bajtů, který zkopíruje do složky Windows, System, Temp, do složek uživatelských profilů a do kořenových adresářů všech pevných a výměnných disků. Tento soubor (TAR archiv) obsahuje kód červa Mydoom.A.

V posledním z prováděných kroků se červ snaží připojovat na TCP port 3127 náhodných IP adres. Tento port otevírá proces červa Mydoom.A a naslouchá na něm přijímaným příkazům. Pokud Doomjuice zjistí úspěšně navázané spojení, zašle na vzdálený počítač svůj kód, spustí ho a tím dojde k aktivaci červa na vzdálené stanici.

Červ je naprogramován tak, aby od 9. února zahájil DoS útok na server www.microsoft.com pomocí zasílání požadavků HTTP GET. Konec útoku není omezen časovou pojistkou.

V současné chvíli je příliš brzy na odhad, zda má i tento červ dispozice k tomu, aby se rozšířil v podobném měřítku jako červ Mydoom.A. Minimálně ale využije dobře připravenou půdu po Mydoom.A ke zjednodušení procesu svého šíření.

Zdroj: Symantec

Diskuze (17) Další článek: Chyba VBS v Internet Exploreru

Témata článku: Microsoft, Windows, Hry, Doom, Náhodný znak, Navázané spojení, Nový, Červ, DOS, Kořenový adresář, Gremlin, Pevné tělo