«Лаборатория Касперского», ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя «Doomjuice». Эксперты «засекли» вредоносный код 9 февраля, на данный момент он успел заразить более 100 000 компьютеров по всему миру, и темпы его распространения продолжают нарастать, — сообщили корреспонденту областной интернет-газеты «Вслух.Ру» в службе новостей «Лаборатории Касперского».
По мнению специалистов, «Doomjuice» написан автором наиболее разрушительного вируса современности — «Mydoom», и предназначен, чтобы сокрыть улики против этого человека. Коме того, новый интернет-червь позволяет организовать масштабную атаку на веб-сайт компании Microsoft. Для осуществления этих целей используются компьютеры, зараженные «Mydoom.a».
Интенсивный рост числа зараженных «Doomjuice» пользовательских машин объясняется механизмом саморазмножения червя. Он распространяется по глобальным сетям, используя компьютеры, уже зараженные одной из версий червя «I-Worm.Mydoom». Проникновение в компьютер производится через порт TCP 3127, открываемый троянской компонентой «Mydoom» для приема удаленных команд. Если зараженный компьютер отвечает на запрос червя, то «Doomjuice» создает соединение и пересылает свою копию. В свою очередь, установленная «Mydoom» троянская программа принимает данный файл и запускает его на исполнение.
Запустившись, червь копирует себя в системный каталог Windows с именем «INTRENAT.EXE» и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при
каждой последующей загрузке компьютера. Затем «Doomjuice» начинает выполнение основной функции, заложенной его автором. Он извлекает из себя файл с именем «SYNC-SRC-1.00.TBZ» и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги Documents and Settings. Данный файл представляет собой архив TAR, содержащий полный исходный код «-Worm.Mydoom.a».
Цель описанной процедуры — распространить оригиналы «Mydoom.a» на как можно большее число компьютеров. Благодаря этому станет невозможно определить конкретного создателя самого опасного вируса современности. Ведь в случае, когда исходные образцы кода «Mydoom.a» размещены на жестких дисках десятков тысяч компьютеров по всему миру, доказать авторство определенного лица становится фактически невозможно.
Кроме того, в «Doomjuice» встроена функция DoS-атаки на сайт www.microsoft.com. До 12 февраля 2004 года она реализуется в «легком» режиме: червь отсылает на 80-й порт данного сайта один запрос GET, повторяя его через произвольное время. Однако, начиная с указанной даты, DoS-атака начнется в полную мощь, без перерывов. Учитывая огромный массив зараженных «Mydoom» компьютеров, дальнейшее распространение «Doomjuice» способно создать реальную угрозу бесперебойному функционированию интернет-ресурса ведущего производителя программного обеспечения.
«Помимо стремления запутать следствие в отношении выявления лиц, причастных к созданию «Mydoom», массовое распространение оригинальных текстов вируса может привести к возникновению мощной волны новых версий этого зловредного кода. Располагая исходником «Mydoom.a», любой человек, знакомый с принципами программирования, сможет создать клон этого вируса. Поэтому вполне возможно, что в ближайшее время Интернет ожидает массированная бомбардировка репликантами «Mydoom», — считает Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».
