Po Mydoom-u A in B še črv Doomjuice.A

V času, ko se je število okužb s črvom Mydoom.A ravno začelo manjšati, se je pojavil nov črv, ki izkorišča škodo, ki jo je povzročil Mydoom. Novi črv so v Pandi Software poimenovali Doomjuice.A. Dejstva kažejo, da se napad črva Mydoom ne bo končal 12. februarja, na dan, ko je bilo videti, da se bo ta črv prenehal širiti. Predvideva se, da je isti avtor v kiber svet poslal tudi novega črva Doomjuice.A, ki se ga ne da odkriti niti v e-pošti, saj izkorišča komunikacijska vrata, ki sta jih pustila odprta Mydoom.A in Mydoom.B. Novi črv se obnaša podobno kot SQLSlammer – je omrežni črv, ki izkorišča odprta vrata na enak način, kot je SQLSlammer izkoriščal ranljivost strežnikov.

Akcije, ki jih Doomjuice.A izvede na okuženem računalniku, so naslednje:

– Da zagotovi svoj zagon, v registrski mapi Windows Registry ustvari zapis:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “Gremlin” intrenat.exe

– Ustvari svojo kopijo z imenom intrenat.exe (36.864 bajtov) v %system%.

– Ustvari datoteko sync-src-1.00.tbz (28.569 bajtov) v %Windows%, v %Temp%, v %System% in na pogonu C:. Ta datoteka je zgoščena in vsebuje izvorno kodo črva Mydoom.A.

– Vzpostavi napad DoS (Denial of Service) na spletno mesto www.microsoft.com.

Dejstva kažejo, da je črva Doomjuice ustvaril isti avtor kot Mydoom.A. Strokovnjaki še raziskujejo to zlonamerno kodo. Popravki sledijo v kratkem.