Украинский Антивирусный Центр, разработчик комплексных систем антивирусной защиты, сообщает о появлении очередной модификации червя I-Worm.NetSky.АА (I-Worm.Nodoom.АА). Вероятно, вирусописатели вознамерились ежедневно выпускать по новой модификации - по крайней мере, такая тенденция прослеживается всю текущую неделю.

От предыдущей модификации данная версия червя I-Worm.NetSky.AA практически ничем не отличается: вирус также размножается по электронной почте в виде вложенного файла, используя собственный SMTP-сервер. Размер вложенного файла составляет 21,5 Кб, тип присоединенного файла - *.ZIP или *.TXT.EXE.

После активации червь создает на зараженном компьютере файл Jammer2nd.exe в папке Windows, а также создает запись в системном реестре Windows, которая позволяет червю автоматически загружаться после перезагрузки компьютера.
Также червь создает в папке Windows файлы PK_ZIP_ALGх.LOG, в которых находятся подготовленные к отправке письма с вредоносным кодом червя (х заменяется на порядковый номер созданного файла).

В теле вируса заложена команда на проведение DoS-атак на следующие веб-сервера: www.educa.ch, www.medinfo.ufl.edu, www.nibis.de. Помимо этого червь I-Worm.NetSky.AA имеет backdoor-модуль, который "прослушивает" команды, поступающие по протоколу TCP на порт 665. Использование backdoor-модуля может позволить злоумышленникам удаленно загружать и исполнять произвольные файлы на инфицированном компьютере.

Антивирусной лабораторией Украинского Антивирусного Центра выпущены и доступны для пользователей модули детектирования и обезвреживания данного червя.