Итернет-червь Sasser атакует мир
Быстрораспространяющийся интернет-червь "Sasser", который, как полагают специалисты, имеет происхождение в России, поразил сотни тысяч персональных компьютеров (ПК) по всему миру, и масштабы будущего заражения пока неясны, сообщили в понедельник представители компании F-Secure. Активизация червя не требует двойного нажатия на приложение, и он может поразить машину, даже если в это время никто не использует ПК. При поражении компьютера на экране могу появляться сообщения о неисправности, а сама машина может начать перезагружаться. По словам представителей Microsoft, "вирус стоил компании миллионы долларов убытков". Компания обещает $250.000 за информацию о местонахождении автора вируса, сообщает REUTERS. Версия червя Worm.Win32.Sasser.b написана на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack. конецформыначалоформыРаспространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. При запуске червь регистрирует себя в ключе автозапуска системного реестра: [HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]avserve2.exe = %WINDIR%avserve2.exe Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N up.exe", где N - случайное число, сообщает "Лаборатория Касперского".