Wojna wirusów

Przeczytaj także: Doomjuice zaciera ślady?

Nachi.B jest nowym wariantem robaka, który po raz pierwszy został wykryty w sierpniu 2003. Jego poprzednik usuwał z komputera robaka W32/Blaster, Nachi.B usuwa Mydooma. Rozprzestrzeniając się wykorzystuje następujące luki w zabezpieczeniach systemu Windows:

- RPC DCOM (MS03-26) buffer overflow
- IIS WebDav (MS03-07)
- Workstation Service Overflow (MS03-049)

Nachi.B rozprzestrzenia się samodzielnie przez Internet dostając się na komputery o otwartych portach TCP/IP o numerach 80, 135 i 445. Zapisuje się na komputerze pod nazwą WskPatch.exe. Uruchamia się automatycznie i tworzy plik Svchost.exe, również z kodem robaka Nachi.B.

Robak usuwa z komputera wszystkie pliki i klucze w Rejestrze Systemowym utworzone przez dowolną odmianę Mydooma.

DoomHunter.A jak może się wydawać, powstał z pobudek altruistycznych, ponieważ usuwa nie tylko Mydoom.A .B, ale także Blastera i dwie odmiany Doomjuice.

DoomHunter.A dostaje się na komputery przy użyciu "tylnej furtki" zakładanej na komputerach zarażonych Mydoomem. Tworzy na komputerze plik worm.exe, a następnie kasuje pliki i wpisy Mydooma. Zostawia jednak otwarty port TCP o numerze 3127 (ten, przez który wchodzi) i stara się rozprzestrzeniać na inne komputery za jego pośrednictwem.

Deadhat.B jest udoskonaloną wersją wirusa, który pojawił się kilka dni temu. Dostaje się na komputery zainfekowane robakiem Mydoom.A i .B. Wykorzystuje także program do internetowej wymiany plików SoulSeek.

Po wejściu, Deadhat.B torzy plik msgsvr32.exe, a także zapisuje się w folderach udostępnianych użytkownikom SoulSeek.

Następnie deaktywuje procesy uruchamiane przez Mydooma.A i .B, ale także, co jest bardzo niebezpieczne, programy zabezpieczające (antywirusy i osobiste firewalle). Modyfikuje także Rejestr, by móc uruchamiać się automatycznie przy każdym starcie systemu Windows.

Deadhat.B może także kasować pliki systemowe i przyjmować polecenia od hakerów za pośrednictwem kanału IRC.

Mitglieder.A instaluje się na komputerze w ten sam sposób, jak DoomHunter i DeadHat. Tworzy plik system.exe. Zatrzymuje dodatkowo pracę wielu programów i stara się uniemożliwić usunięcie z systemu.