Doomjuice.b - массовая атака на сайт компании Microsoft

[phill]

Лаборатория Касперского" сообщила о появлении новой версии интернет-червя "Doomjuice" - "Doomjuice.b". Принцип распространения данной вредоносной программы не отличается от предшественника, обнаруженного несколько дней назад, 9 февраля - он производит сканирование интернета в поисках компьютеров, зараженных сетевыми червями "Mydoom.a" или "Mydoom.b". Установив соединение с пораженной машиной через открытый "Mydoom" порт 3127, "Doomjuice.b" пересылает на нее свою копию, а троянская компонента "Mydoom" запускает полученный файл.

В то же время, функциональное предназначение "Doomjuice.b" сосредоточено исключительно на DoS-атаке Web-сайта компании Microsoft, www.microsoft.com. Скопировав себя при запуске в системный каталог Windows под именем "REGEDIT.EXE", и зарегистрировав данный файл в ключе автозапуска системного реестра, червь проверяет системную дату. В случае, если текущая дата находится в промежутке между 8 и 12 числом месяца - функция DoS-атаки не запускается. Также червь не производит DoS-атаку в январе.

Таким образом, "Doomjuice.b" будет осуществлять DoS-атаку на сайт www.microsoft.com во все дни месяца, за исключением января, с 1-го по 8-е число и с 12-го числа до конца месяца. Для проведения DoS-атаки червь отсылает на 80 порт сайта www.microsoft.com множественные запросы.

При этом используется уникальная для данного вида вирусов технология генерации обращения к серверу - строка созданного червем запроса полностью имитирует формат запроса от популярного Web-браузера Internet Explorer. Это исключает возможность блокирования обращений от зараженных компьютеров, так как ни одно средство сетевой фильтрации не сможет отличить запрос обычного пользователя от инициированного червем. Данная функция значительно увеличивает деструктивный эффект DoS-атаки червя Doomjuice.b. Если эта вредоносная программа получит широкое распространение, дальнейшая жизнеспособность интернет-ресурса компании Microsoft будет поставлена под серьезное сомнение.

opyat mydoom

[Shanker]

philll
Раз это всё относится к Mydoom - незачем открывать новую тему: нужно было продолжать постить в уже созданной: http://www.imho.ws/showthread.php?threadid=49836

[phill]

Shanker
ne eto ne otnositsya k my doom, eto j noviy virus, ti chital sam to ?

[Shanker]

philll
Естественно читал: этот вирь создал тот же человек,этот вирь фактически дополняет mydoom: модифицирует mydoom и создаёт несколько его копий плюс пытается по-нормальному атаковать сайт мелкософта! Его следовало быназвать тоже mydoom... Просто Касперы в очередной раз думают по-своему... Следовательно, это должно быть там же, где и mydoom.

[Rollers]

philll
аля MyDoom, тем более что исходники его уже в сети появились