Почти "Холодные финансовые войны". А может уже и не почти (+)
Подробности о черве W32.Novarg.A ака Win32.Mydoom.A (CA(Vet),Norman) worm
Компания Symantec провела анализ нового червя. Помимо обычного анализа червя были выявлены довольно любопытные подробности. Так, при заражении червём устанвливается компонент shimgapi.dll (ключ HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32), который запускает прокси-сервера на портах 3127-3198, слушающий запрос на установление соединения. Также устанавливаемыый бэкдор позволяет загружать произвольные файллы на заражённую машину и запускать их. В период между 1-12 февраля нынешнего года червь запускает DoS-атаку на лучшего "друга" всех юниксоидов - сайт компании SCO (www.sco.com). Для этого с каждой заражённой машины формируется 64 GET-запроса по протоколу http (порт 80/tcp). Уязвимы для червя ОС: Win9x/ME, NT/XP/2K/2003.
Одной из мотиваций "русского следа", усмотренного Symantec при анализе кода, возможно/вероятно было то, что все желающие могут удалить у себя с компа трояновскую dll, а exe-шник оставить, если есть желание сделать "приятное" компании SCO, приснопамятную по судебным процессам с Unix и IBM...
Продожение банкета:
"Лаборатория Касперского", сообщает об обнаружении новой версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".
На данный момент уже поступили сообщения о случаях заражения этой
вредоносной программой. "Лаборатория Касперского" допускает, что для распространения "Mydoom.B" были использованы компьютеры, зараженные предыдущей версией червя (на данный момент их число достигает 600 000 единиц). Возможно, они получили централизованную команду начать рассылку "Mydoom.B". По этой причине не исключено, что в ближайшие часы начнется новая вирусная эпидемия, по масштабам многократно превосходящая "Mydoom.A".