В то время, как 18-летний автор вируса Sasser сидит дома и ждет повестки в
суд, его
вирус успели изучить другие хакеры и найти в нем
уязвимость. Новый
червь Dabber использует дыру в
FTP-компоненте вируса, позволяющем
превратить зараженный компьютер в файловый
сервер. Он
сканирует компьютеры в
сети на предмет открытого своим предшественником порта 5554, и, используя
программу-эксплоит для
Sasser, написанную
румынскими исследователями
узявимостей (RSR), устанавливается на машину сам. Затем вирус стирает все
упоминания о Sasser и его самого из системы, не забыв заменить номер порта на
9898. Через этот порт
хакеры могут загружать в систему дополнительный код.
Лаборатория антивирусных исследований LURHQ утверждает, что убить червя
довольно просто: сначала удалить процесс package.exe, затем в реестре стереть
ключ "sassfix", и, наконец, убрать все package.exe из системных папок Windows,
а лучше со всего компьютера.
Это уже не первый случай использования эпидемий для распространения новых
вирусов. К примеру, Doomjuice и Deadhat захватывали компьютеры, "занятые"
вирусом MyDoom, сообщает The Register.
Поделиться
