...
...

Появились две новые версии червя Bobax

Были обнаружены версии B и C червя Bobax, два новых вредоносных кода, присоединившиеся к Bobax.A, появившемуся несколько дней назад. В результате вероятность заражения компьютеров одним из червей Bobax значительно возросла.
Как и семейство червей Sasser, три версии Bobax используют для распространения брешь Windows LSASS. Эти черви пытаются получить доступ к большому количеству IP адресов для получения информации о наличии на компьютерах бреши Windows LSASS.

Если брешь в системе есть, Bobax направляет инструкции пораженному компьютеру о загрузке копии червя. Также когда любой из червей Bobax использует брешь LSASS, происходит переполнение буфера, что ведет к перезагрузке пораженной системы.

Несмотря на то, что брешь LSASS существует только в системах Windows XP и 2000, Bobax и его версии могут также распространяться и на другие платформы Windows. Однако в этом случае черви не проникают на компьютер автоматически, пользователь должен сам запустить файл, содержащий экземпляр Bobax, для того чтобы система была инфицирована.

Как только червь Bobax инсталлирован, он открывает несколько случайных коммуникационных портов, которые могут позволить удаленному пользователю использовать зараженную систему как SMTP сервер для рассылки почты. В этом случае целевые компьютеры могут стать «зомби» для рассылки спама.

Также были обнаружены электронные сообщения, содержащие нового трояна Ldpinch.W. Даже несмотря на то, что это не особо опасный вредоносный код, он использует преимущества заголовков новостей, посвященных конфликту в Ираке, для обмана пользователей и инфицирования их компьютеров.

Сообщение, в котором скрывается Ldpinch.W, имеет следующие характеристики:
Тема:
Important news about our soldiers in IRAQ!!!
(Важные новости о наших солдатах в Ираке!!!)
Сообщение:
Seven officers was lost today, follow the link to get the full story.
(Семь офицеров было сегодня потеряно, полная история на этой ссылке)
[Интернет адрес]
Приложенный файл:
IMPORTANT INFORMATION.ZIP, который в свою очередь содержит файл IMPORTANT INFORMATION.ZIP
Интернет адрес, указанный в сообщении, содержит информацию о войне в Ираке. Однако если пользователь запускает приложенный файл, на компьютер устанавливается Ldpinch.W.
Этот троян создан для кражи из системы конфиденциальной информации и отправки ее на заранее определенный электронный адрес. В этом случае создатель вируса может использовать похищенные данные в своих мошеннических планах.

Чтобы избежать атаки Bobax или его версий, нужно установить заплатку Microsoft, которая закрывает брешь LSASS.

© Компьютерная газета