Обнаружен новый вариант вируса Code Red II

В Интернете появилась новая модификация вируса Code Red II, и хотя эксперты по безопасности считают, что ущерб от него будет минимальным, опасность остается, также как остается и вероятность появления еще более совершенных форм этого червя.

Как сообщил Роджер Томпсон (Roger Thompson) из компании TruSecure, вирус, получивший индекс CodeRed.d практически идентичен простому Code Red II или CodeRed.c. Основная особенность новой версии - это замена так называемого "атома" - строки "CodeRedII" знаками подчеркивания. Атом служит в качестве индикатора заражения - при атаке вирус прежде всего проверяет наличие на компьютере "атома" и в случае его обнаружения "засыпает". В противном случае Code Red II записывает в компьютер "атом" и переходит к следующей жертве. Также был изменен единственный байт кода - по смещению 07C5 вместо 0 теперь записано число FF.

По мнению Томпсона, подобная модификация призвана обмануть примитивные системы защиты, которые при поиске вируса ориентировались на строку "CodeRedII". Червь, по-видимому, также способен поражать машины уже зараженные CodeRed.c, поскольку его "атом" записан знаками подчеркивания. Но основным выводом из появления CodeRed.d является то, что этот вирус продолжает модифицироваться своими создателями, и пользователям IIS, равно как и антивирусным компаниям не стоит расслабляться.

blog comments powered by Disqus