Новый вирус "BugBear.B" появился в
Интернете. По оценке специалистов, вирус
опаснее своих предшественников "Sobig.B"
и "Sobig.C", также появившихся во
всемирной паутине в последние недели.
Только к середине дня 5 июня британская
компания антивирусной защиты MessageLabs
блокировала 37,4 тыс. копий вируса,
поступивших из 125 стран, передает АР. Другая
антивирусная компания Network Associates заявила,
что получила 100 сообщений о новом вирусе от
своих клиентов, а Symantec - 180 рапортов.
Как сообщает
Sophos, при запуске исполняемого файла,
содержащегося во вложении, вирус
записывает в папку запуска исполняемый
файл с именем из четырех произвольных
символов и расширением .EXE (размер 72192 байта).
Это копия кода вируса. Кроме того, вирус
заражает исполняемые файлы системных
программ ScanDisk, RegEdit, WMPLayer, Notepad и WinHelp, а также
исполняемые файлы другого ПО, в том числе,
антивирусов, почтовых программ,
архиваторов и других. В системную папку
также помещается файл с именем из семи
произвольных символов и расширением DLL - это
утилита, отслеживающая нажатия клавиш на
клавиатуре. Помимо этого, вирус пытается
приостановить работу антивирусных
программ.
После этого вирус открывает для
проникновения извне порт 1080, и таким
образом, система становится доступной для
вторжения. Хакер может дистанционно
выполнять следующие действия: получать
пароли доступа, выполнять на удаленной
системе произвольный код, удалять,
копировать файлы, записывать в файлы,
просматривать список процессов и
прекращать работу процессов, а также
получать информацию о системе. Помимо всего
описанного выше, хакер может открыть на
удаленной системе 80-й порт и через него
связаться со встроенным в код вируса веб-сервером
(предположительно на базе Apache 1.3.26). После
этого доступ к файлам на винчестере
компьютера-жертвы становится еще проще.
