Старый-Новый вирус

Поиск не работает, поэтому открыл новую тему. Вроде подняли уровень опасности. Во всяком случае на работе дернули людей в субботу и воскресенье.

Вот краткое описание.

http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39021 - Category: Win32
Also known as: W32/Sasser.B (F-Secure) , Win32/Sasser.B.Worm, W32.Sasser.B.Worm (Symantec), W32/Sasser.worm.b (McAfee), Worm.Win32.Sasser.a (Kaspersky)

Win32.Sasser.B is a worm that spreads by exploiting a vulnerability in the LSASS service on Windows 2000, XP and 2003 server. It is a 15,872-byte executable, packed with PECompact.

When executed, Sasser.B copies itself to:
%Windows%\avserve2.exe

and modifies the registry to ensure that this copy is executed at each Windows start:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve2.exe = "%Windows%\avserve2.exe"


Note: '%Windows%' is a variable location. The worm determines the location of the current Windows folder by querying the operating system. The default installation location for the Windows directory for Windows 2000 and NT is C:\Winnt; for 95,98 and ME is C:\Windows; and for XP is C:\Windows.

The worm also creates mutexes called "Jobaka3" and "JumpallsNlsTillt".

Итак в пятницу был пойман автор семейства вирусов "Sasser" - некий 18-летний уроженец Германии, арестованный в окрестностях Ротенбурга, расположенного в северной части страны. Выйти на юношу помогли совместные действия ФБР, ЦРУ и корпорации Microsoft...

Сразу после задержания был конфискованы компьютеры, диски, дискеты и прочие материалы, принадлежавшие или использовавшиеся юношей, который известен под инициалами Sven J. Сразу же была распространена информация о том, что все улики свидетельствуют о единоличной работе "Свена Джей" над червём Sasser, и, вероятнее всего, все остальные варианты "червя" - также работа исключительно его рук (правда, это предположение будет проверяться). Практически сразу же вирусописатель был отпущен под залог, и теперь ждёт рассмотрения своего дела, по которому ему "светит" до пяти лет тюрьмы...

То, что вышеупомянутый Sven J. - настоящий автор вируса Sasser - ни у кого не вызывает сомнений. Всё дело в обстоятельствах процесса его идентификации. Парня "сдали" полиции некие лица, информация о которых не раскрывается. В среду, за два дня до ареста, некие жители Нижней Саксонии анонимно обратились в корпорацию Microsoft с целью обсуждения вопроса выплаты вознаграждения за предоставление информации об авторе вируса Sasser. Не мне рассказывать вам о финансовых возможностях корпорации Microsoft (ранее предлагавшей 250.000 долларов США за информацию об авторе того же "червя" Mydoom), поэтому неудивителен тот факт, что стороны быстро нашли общий язык, и уже через день хакер Sven J. был арестован...

Представители Microsoft не скрывают, что "сдача" вирусописателя состоялась при посредстве лиц, знавших его лично или косвенно. Именно личное знакомство, а не анализ кода или другие технические аспекты явились источником информации об авторе вируса Sasser для людей, отправивших хакера на скамью подсудимых. Получается, люди просто заработали неплохие деньги...

Есть ещё один важный аспект в деле об аресте "Свена Джей" - ряд экспертов предполагают наличие связи между волной прокатившихся заражений компьютерных систем "червями" Netsky и эпидемией, вызванной вирусом Sasser. Более того, некоторые источники уже поспешили связать "Свена Джей" с хакерской группировкой, стоящей за распространением червей семейства Netsky. Если эта информация является достоверной (а не липовой попыткой "пришить" лишнее дело пойманному хакеру), то можно поздравить правоохранительные органы, добившиеся значительного успеха. Ну а нам лишний раз стоит отметить себе основной путь успешной борьбы с организованной преступностью - воздействие на неё изнутри...

Германия - страна стука.