Все свидетельствует о том, что атаки нашумевшего вируса MyDoom не закончатся 12 февраля, как ожидали специалисты: на фоне спада активности MyDoom.A 9 февраля в Сети появился новый червь, использующий результаты деятельности своего предшественника - DoomJuice.A. Вполне вероятно, что новый вредоносный код был написан тем же автором. Нового червя невозможно обнаружить даже в электронной почте, поскольку он использует порты, открытые MyDoom.A и MyDoom.B.
Новый вирус ведет себя так же, как SQLSlammer, эксплуатировавший бреши серверов, т.е. это сетевой червь, использующий открытые порты. Он делает это путем установления соединения с портом TCP/IP 3127 зараженной машины. Вирусы MyDoom оставляют этот порт открытым в режиме ожидания для получения команд от хакеров и/или вирусов. После установки соединения DoomJuice передает команду компьютеру, зараженному MyDoom, выполнить его код локально. Таким образом, машина “перезаражается” удаленно. Этот метод заражения нередко применяют вирусописатели, используя уже зараженные системы для распространения новых вирусов. “Творения” вирусописателей становятся все более эффективными в плане способности заражения, отмечают специалисты антивирусной компании Panda Software. Однако DoomJuice распространяется не так быстро, как MyDoom.

DoomJuice.A выполняет на компьютерах следующие действия:
• для того, чтобы убедиться, что он запущен, червь создает следующую запись в реестре Windows: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Gremlin" intrenat.exe;
• создает свою копию в папке System под именем intrenat.exe (36864 Б);
• создает файл sync-src-1.00.tbz (28569 Б) в папках Windows, Temp, System, а также на диске C. Этот файл является сжатым и содержит исходный код MyDoom.A;
• отправляет запросы на сайт Microsoft, пытаясь организовать DDoS-атаку, как это делали MyDoom.A и MyDoom.B.

Некоторые эксперты полагают, что поскольку новый червь передается непосредственно от компьютера к компьютеру, его нельзя считать его вариантом MyDoom. Однако многие компании, включая Microsoft, уже присвоили ему имя MyDoom С. В Microsoft заявляют, что, несмотря на атаки, корпоративный сайт функционирует в обычном режиме. Однако многие эксперты по сетевой безопасности отмечают, что на прошедших выходных сайт корпорации работал медленнее обычного и периодически не открывался, - сообщает cnews.ru