חברת האנטי וירוס פנדה מדווחת (יום ג', 10.2.04) כי אמש התגלתה תולעת חדשה ממשפחת ה-Mydoom: Doomjuice.A.
התולעת מופצת על-ידי כך שהיא מדביקה מחדש מחשבים נגועים שכבר נדבקו ונפגעו מתולעת ה-Mydoom.A, Mydoom.B, תוך ניצול החולשות והנזקים שנגרמו למחשב על-ידי תולעת ה-Mydoom. התולעת החדשה עושה זאת באמצעות פתיחת תקשורת לפורט 3127 TCP/IP.
כאשר וירוס Mydoom הצליח לחדור ולפגוע במחשב, הוא משאיר את הפורט הזה פתוח ובמצב של "האזנה" במטרה לקבל פקודות מהאקרים ו/או מווירוסים אחרים. מרגע שנוצרה התקשורת הזו, תולעת Doomjuice מדריכה את המחשב הנגוע ב-Mydoom להפעיל שוב את הקוד של הווירוס באופן מקומי וכך היא מדביקה שוב מרחוק את המחשב.
תולעת זו גורמת גם להפצת מתקפות DOS - Denail of Service על אתר מיקרוסופט (
www.microsoft.com).
התולעת התגלתה אמש ועל-פי נתוני פנדה, נכון להיום בצהריים, רמת התפוצה שלה גבוהה (3 מתוך 4), רמת האיום גבוהה (3 מתוך 4), אולם בפנדה מדגישים כי רמת הנזק שלה נמוכה (1 מתוך 2).
על-פי נתוני פנדה, התולעת שאף הגיעה כבר לישראל, פעילה כרגע בעיקר במדינות אירופה, אחרי שאמש עיקר פעילותה נרשמה באמריקה ובאירופה.
מפנדה נמסר, כי שיטת הדבקה זו מצביעה על "אופנה עכשווית" של כותבי וירוסים, המשתמשים במחשבים שכבר נפגעו ונדבקו על-מנת להפיץ וירוסים חדשים. כך, הופכת יצירתם ליעילה יותר ובעלת יכולת הדבקה מהירה יותר. מפנדה נמסר עוד, כי Doomjuice.A מתנהג בצורה דומה ל-SQLSlammer: מדובר בתולעת רשת המנצלת Port פתוח בדיוק כמו שה-SQLSlammer ניצל חולשות בשרת.
לינקים חשובים:
- כלי ניקוי חינמי של פנדה לטיפול ולהסרת הווירוס במחשב, בכתובת הבאה:
www.pandasoftware.com/download/utilities - בפנדה גם ממליצים לגולשים לסרוק את מחשבם באמצעות סורק הווירוסים המקוון והחינמי "פנדה אקטיבסקאן", בכתובת הבאה:
www.pandasoftware.com/activescan/com/activescan_principal.htm - מידע ספציפי על הווירוס בכתובת אתר החברה: Doomjuice.A.