Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack.
Размножение
При запуске червь регистрирует себя в ключе автозапуска системного реестра:
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N - случайное число.
P.S. Полно народу уже заразилось... Патчуйтесь обязательно... Достаточно на пару минут вылезти в инет и гадость обеспечена... причем как то странно влияет на внешние устройства.. вначале отказывает принтер, сканер.. а потом тачка просто медленно умирает.. (Касперского и Нортон Антивирус съедает за несколько минут) :-))
Комментарии
@
11.5.04, 22:46,
:)
вот объясните мне как можно заразиться через "на пару минут вылезти в инет"??? Раньше - да, было такое, по неопытности открывали х..ню типа ILOVEYOU - тогда сам инет в новинку был, не приходило ни какого спама и пр. А сейчас?
@
11.5.04, 23:09,
НБГ
Clrav месит эту пакость. Всем к доброму дяде Касперу. Почему бы не объединиться симантеку и касперскому. Есть у семантека Гхост(призрак) а у касперского фамилия класс, сделали бы софт - "Каспер-дружелюбное привидение"
