Nowa wersja robaka MyDoom

Producenci oprogramowania antywirusowego poinformowali o wykryciu nowej wersji najniebezpieczniejszego robaka w historii Internetu. MyDoom.C jest mutacją oryginalnego MyDooma, który pojawił w Sieci w styczniu - jednak w odróżnieniu od niego nie potrafi rozprzestrzeniać się za pośrednictwem poczty elektronicznej i sieci P2P.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
Z analiz kodu nowego robaka wynika, że usunięto z niego kilka błędów, które występowały w jego wcześniejszych wersjach - MyDoom.C (przez niektórych ekspertów określany również jako Doomjuice) sprawniej przeprowadza atak DoS (denial of service), a dodatkowo pozbawiono go "daty wygaśnięcia". Nie wydaje się jednak, aby robak był teraz groźniejszy, ponieważ modyfikacje obejmują również pozbawienie go wydajnego mechanizmu pocztowego - a to właśnie ten element MyDooma najbardziej przyczynił się do jego "sukcesu".

Bez Trojana, za to z kodem

Nową mutację robaka pozbawiono również możliwości rozprzestrzeniania się za pośrednictwem sieci P2P oraz instalowania w systemie "konia trojańskiego". Zamiast tego, MyDoom po zainfekowaniu komputera zaczyna dystrybuować plik zawierający jego kod źródłowy.

To, że MyDoom.C nie potrafi rozprzestrzeniać się za pośrednictwem poczty elektronicznej, nie oznacza jednak, że jest zupełnie niegroźny - robak atakuje komputery, które już są zainfekowane którąś z jego poprzednich wersji (jest to możliwe dzięki temu, że MyDoom.A i MyDoom.B otwierają w zarażonym systemie port 3127). Co ważne - MyDoom.C nie usuwa swoich poprzedników - działa "równolegle" z nimi.

Microsoft znów na celowniku

Jak już wspomnieliśmy, nowy robak lepiej radzi sobie z przeprowadzaniem ataku DoS - jego celem jest strona internetowa koncernu Microsoft (podobnie postępował MyDoom.B). Jeśli robak zdoła zainfekować komputer do 12 lutego, wtedy rozpocznie przeprowadzany o przypadkowych porach atak na stronę Microsoftu. Jeśli MyDoom.C uaktywni się później, atak będzie rozpocznie się natychmiast i będzie ciągły.

W kodzie nowej mutacji znaleziono również adres IP strony www.ford.com , nie jest jednak na razie pewne, czy MyDoom.C będzie atakował również tę witrynę.

"Nie sądze, aby MyDoom.C zdołał 'zatrząść' Internetem tak, jak zrobił to MyDoom.A" - ocenił Ian Hameroff z firmy Computer Associates - "przede wszystkim dlatego, że nie jest w stanie tak agresywnie się rozprzestrzeniać. Aczkolwiek trzeba pamiętać o tym, że wciąż stanowi on pewne zagrożenie dla użytkowników Internetu".

Poważne zagrożenia powoduje za to fakt, iż robak dystrybuuje swój własny, nieskompilowany kod - według ekspertów, umożliwia to autorom wirusów łatwe tworzenie jego kolejnych, potencjalnie bardziej niebezpiecznych, wersji.

Więcej informacji na temat robaka MyDoom:

http://www.idg.pl/news/watek/35.html

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.