Nowy Sasser ???

Od wczorajszego dnia zaobserwowano silny atak wirusów wykorzystujących lukę w usłudze Plug&Play systemu Windows opisaną w MS05-039. Spowodowało to wydanie w trybie pilnym biuletynów przez wszystkie liczące się firmy antywirusowe.
McAffe kwalifikuje W32&PRCbot.worm!MS05-039 na najwyższym poziomie zagrożenia, Symantec dla W32.Yotob.E nadał stopie? 3 w pięcio stopniowej skali, Trend Micro uznał Worm_RBOT.CBQ jako średnie zagrożenie. Prawdopodobnie jest to jeden i ten sam wirus występujący pod różnymi nazwami.
Atakuje on głównie komputery z zainstalowanym systemem Windows 2000 bez aktualnych poprawek. Tworzy on plik „wintbp.exe” w katalogu „Windows/System 32” oraz dodaje wpis
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun wintbp.exe = wintbp.exe
do rejestru systemowego. Otwiera port 8080 i nawiązuje kontakt z siecią IRC z której pobiera dalsze instrukcje, może np. powodować ciągłe restarty komputera.
Wiadomo już, że z jego powodu problemy miały takie koncerny jak CNN, ABC, Capitol Hill oraz New York Times.

Zobacz: Biuletyn zabezpiecze? firmy Microsoft MS05-039 A co na ten temat mówi Kaspersky Lab ?

Eksperci z Firmy Kaspersky Lab informują o licznych zgłoszeniach dotyczących rozprzestrzeniania się nowego robaka – Bozori.a (pierwotnie nazwanego Small.d) wykorzystującego lukę w mechanizmie Plug and Play systemów MS Windows. Najwięcej doniesie? dociera ze Stanów Zjednoczonych i wynika z nich, że atakowane są duże cele. Nazwa zainfekowanego pliku to najczęściej wintbp.exe.
Tuż po wykryciu robaka Bozori.a analitycy z laboratorium antywirusowego firmy Kaspersky Lab namierzyli jego następcę – robaka Bozori.b, który na razie nie rozprzestrzenia się tak szybko jak jego pierwowzór.
Mówi Roel Schouwenberg, analityk z laboratorium antywirusowego firmy Kaspersky Lab: „Nowa wersja robaka Bozori także wykorzystuje lukę w systemie Windows do infekowania komputerów. Może to prowadzić do zawieszenia usługi services.exe systemu Windows, co z kolei spowoduje pojawienie okna „System Shutdown”, które stało się słynne dzięki robakom Lovsan i Sasser”.
Po upłynięciu 60 sekund od pojawienia się tego okna następuje ponowne uruchomienie komputera. „Dysponując tylko 60 sekundami administratorzy będą mieli ręce pełne roboty” – dodaje Roel.