В Сети появился новый червь Worm.Win32.Blaster.a, использующий уязвимость в службе Microsoft Windows DCOM RPC.
После успешной загрузки основного тела червя, оно копируется в каталог %WinDir%\system32 и запускается на выполнение. Создает в системном реестре ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Признаки заражения:
Наличие файла msblast.exe в каталоге %WinDir%\system32. Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. Наличие записи в системном реестре
Особенностью нового червя является то, что в его задачи не входит причинение какого-либо ущерба пользователю, его компьютеру и файлам, если не считать внезапной перезагрузки вскоре после заражения," - сообщил российский интернет-эксперт Антон Носик. По его словам, целью вируса является атака сервера Microsoft Windows Update, запланированная на 16 августа. До этой даты червь, проникший в компьютер, будет заниматься сканированием той подсети, куда он попал, выявлением уязвимых машин и их заражением.
Однако первые версии вируса содержат две существенных ошибки, из-за которых запланированная атака на Microsoft может и не состояться. Первая ошибка состоит в том, что червь приводит к перезагрузке системы, обнаруживая себя раньше времени. Вторая - червь неправильно отдает уязвимым машинам свой собственный IP-адрес, а потому не может распространяться дальше после первичного заражения. Специалисты отмечают по этому поводу, что создатели червя наверняка устранят ошибки в ближайшую пару дней и выпустят новую версию.