Автор Sasser попытался предупредить своих жертв
Microsoft считает, что последний вариант червя, Sasser.E, был выпущен неделю назад. В нем предпринята попытка предупредить владельцев уязвимых компьютеров.
«Похоже, что тот, кто его выпустил, кто бы это ни был, попытался поставить людей в известность, что их системы уязвимы», — говорит старший менеджер центра секьюрити-реагирования Symantec Оливер Фридрихс. Компания впервые обнаружила копию червя в воскресенье днем, но Фридрихс говорит, что инфекция распространяется достаточно медленно, так что вполне можно предположить, что она появилась в начале недели.
В пятницу вечером в Германии был арестован обвиняемый в авторстве Sasser 18-летний житель Вафензена, городка в Нижней Саксонии. Правоохранительные органы уверены, что он же написал все 28 версий вируса массовой почтовой рассылки NetSky.
Последняя версия Sasser пытается обезвредить варианты Bagle, удаляя из системного реестра ключи, созданные конкурирующим червем. Предыдущие версии Sasser этого не делали. Код Sasser.E содержит следующее предупреждение для своих жертв:
1. Ваш компьютер находится под влиянием уязвимости MS04-011
Возможно, что ваш компьютер заражен опасными вирусами, подобными червю Blaster
2. Пожалуйста, установите на свой компьютер патч MS04-011 LSASS с веб-сайта
www.microsoft.com
3. Это сообщение от SkyNet Team имеет целью предотвращение действий злоумышленников
Кроме того, Sasser.E создает remote shell на TCP port 1022, а не 9995, и использует протокол передачи файлов на TCP port 1023, а не 5554.
Антивирусная компания Panda Software предположила, что время этой атаки — после ареста подозреваемого — может указывать на то, что Sasser создает «организованная преступная группа». «Этот новый вариант пока мало распространен», — говорит международный технический редактор Panda Software Фернандо Делакуадро. По его мнению, медлительность инфекции объясняется главным образом тем, что с момента начала эпидемии Sasser в конце апреля пользователи пропатчили свои системы.
Взято
отсюда