Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Net-Worm.Win32.Bozori.a

Net-Worm.Win32.Bozori.a Jest to robak sieciowy infekujący komputery działające pod kontrolą systemów MS Windows. Ma postać pliku PE EXE o rozmiarze 10 366 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 20 KB). Szkodnik rozprzestrzenia się przy użyciu luki w mechanizmie Plug and Play wykorzystywanym w systemach Windows. Informacje szczegółowe na temat tej luki zawiera biuletyn firmy Microsoft MS05-039. Robak wyposażony jest w backdoora, który może otrzymywać zdalne polecenia poprzez kanały IRC.

Instalacja

Po uruchomieniu robak kopiuje się do foldera systemowego z nazwą wintbp.exe i tworzy w rejestrze systemowym klucze zapewniające mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wintbp.exe" = "wintbp.exe"

Robak tworzy w zainfekowanym systemie unikatową sygnaturę:

wintbp.exe

Rozprzestrzenianie

Robak otwiera serwer TFTP na porcie UDP 69 zainfekowanego komputera, po czym wybiera adresy IP i wysyła żądanie na ich port TCP 445. Jeżeli zdalny komputer odpowie robak próbuje wykorzystać lukę w systemie Plug and Play, otwiera port TCP 8594 i umieszcza w atakowanym systemie własną kopię.

Zdalne zarządzanie

Robak łączy się z serwerem IRC 72.20.**.115 i oczekuje na polecenia. Zdalny cyber-przestępca może uzyskać pełny dostęp do zainfekowanego komputera.

Informacje dodatkowe

Po zainfekowaniu system operacyjny może wyświetlać komunikat o wystąpieniu błędu, po czym może nastąpić ponowne uruchomienie komputera.