16.01.2009  Новости

Компания «Доктор Веб» сообщила о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего в числе прочего уязвимости ОС Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ. Для распространения сетевой червь применяет сразу несколько способов. Прежде всего это съемные носители и сетевые диски, используемые посредством встроенного в Windows механизма автозапуска. Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. Для удаленного доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создает задание на запуск через определенный промежуток времени. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP. После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе находится, и если это процесс rundll32.exe, то он внедряет свой ... читать далее.