Компания Symantec обнаружила новую вредоносную программу Kibuv, способную проникать на компьютеры, работающие под управлением операционных систем Windows 95, 98, Ме, NT, Server 2003, 2000 и XP.
Червь распространяется, сканируя случайные IP-адреса в поисках уязвимых систем. При этом первая модификация вируса, обнаруженная 14 мая, использует дыры в службе DCOM RPC (удаленный вызов процедур) и сервисе LSASS (локальная подсистема аутентификации пользователей). А вторая версия червя с индексом «В» способна эксплуатировать еще и уязвимость в компоненте Messenger ОС Windows, ошибку в коде вируса Sasser, «черные ходы», открытые Weird и Beagle и пр.
После проникновения на машину червь Kibuv изменяет реестр, обеспечивая себе автоматический запуск при каждой загрузке операционной системы, и открывает FTP-сервер на порте 9604 (или 7955 для версии Kibuv.B) для дальнейшего размножения. Через этот порт на компьютер-жертву производится загрузка основного вредоносного файла. Кроме того, более поздняя модификация червя Kibuv.B прослушивает порт 420, ожидая команд от своих авторов.
Следует заметить, что в последние несколько дней резко возросло количество новых вирусов, использующих уязвимость в службе LSASS. В частности, после появления вредоносной программы Sasser компании, специализирующиеся на вопросах компьютерной безопасности, зафиксировали появление червей Cycle, Dabber и некоторых других. |