Nowa wersja robaka MyDoom

Producenci oprogramowania antywirusowego poinformowali o wykryciu nowej wersji najniebezpieczniejszego robaka w historii Internetu. MyDoom.C jest mutacją oryginalnego MyDooma, który pojawił w Sieci w styczniu - jednak w odróżnieniu od niego nie potrafi rozprzestrzeniać się za pośrednictwem poczty elektronicznej i sieci P2P.

Z analiz kodu nowego robaka wynika, że usunięto z niego kilka błędów, które występowały w jego wcześniejszych wersjach - MyDoom.C (przez niektórych ekspertów określany również jako Doomjuice) sprawniej przeprowadza atak DoS (denial of service), a dodatkowo pozbawiono go "daty wygaśnięcia". Nie wydaje się jednak, aby robak był teraz groźniejszy, ponieważ modyfikacje obejmują również pozbawienie go wydajnego mechanizmu pocztowego - a to właśnie ten element MyDooma najbardziej przyczynił się do jego "sukcesu".

Bez Trojana, za to z kodem

Nową mutację robaka pozbawiono również możliwości rozprzestrzeniania się za pośrednictwem sieci P2P oraz instalowania w systemie "konia trojańskiego". Zamiast tego, MyDoom po zainfekowaniu komputera zaczyna dystrybuować plik zawierający jego kod źródłowy.

Zobacz również:

To, że MyDoom.C nie potrafi rozprzestrzeniać się za pośrednictwem poczty elektronicznej, nie oznacza jednak, że jest zupełnie niegroźny - robak atakuje komputery, które już są zainfekowane którąś z jego poprzednich wersji (jest to możliwe dzięki temu, że MyDoom.A i MyDoom.B otwierają w zarażonym systemie port 3127). Co ważne - MyDoom.C nie usuwa swoich poprzedników - działa "równolegle" z nimi.

Microsoft znów na celowniku

Jak już wspomnieliśmy, nowy robak lepiej radzi sobie z przeprowadzaniem ataku DoS - jego celem jest strona internetowa koncernu Microsoft (podobnie postępował MyDoom.B). Jeśli robak zdoła zainfekować komputer do 12 lutego, wtedy rozpocznie przeprowadzany o przypadkowych porach atak na stronę Microsoftu. Jeśli MyDoom.C uaktywni się później, atak będzie rozpocznie się natychmiast i będzie ciągły.

W kodzie nowej mutacji znaleziono również adres IP strony www.ford.com , nie jest jednak na razie pewne, czy MyDoom.C będzie atakował również tę witrynę.

"Nie sądze, aby MyDoom.C zdołał 'zatrząść' Internetem tak, jak zrobił to MyDoom.A" - ocenił Ian Hameroff z firmy Computer Associates - "przede wszystkim dlatego, że nie jest w stanie tak agresywnie się rozprzestrzeniać. Aczkolwiek trzeba pamiętać o tym, że wciąż stanowi on pewne zagrożenie dla użytkowników Internetu".

Poważne zagrożenia powoduje za to fakt, iż robak dystrybuuje swój własny, nieskompilowany kod - według ekspertów, umożliwia to autorom wirusów łatwe tworzenie jego kolejnych, potencjalnie bardziej niebezpiecznych, wersji.

Więcej informacji na temat robaka MyDoom:

http://www.idg.pl/news/watek/35.html


Zobacz również