Nowy wirus: Lemoor
Firma antywirusowa Kaspersky Lab informuje, ze pojawił się nowy wirus: Win32.Lemoor.a. Wykorzystuje on błędy w... kodzie wirusa Sasser. Z tego powodu infekcją zagrożone są wyłącznie komputery uprzednio zaatakowane przez Sassera
Lemoor został napisany w asemblerze i ma rozmiar 1 935 bajtów (kompresja FSG, rozmiar po rozpakowaniu - 20 992 bajty). Po uruchomieniu robak tworzy w rejestrze systemowym klucz auto-run:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[Ephemeral 2.4] by TreeHugger, = %ścieżka_dostępu_do_pliku_robaka%
Szkodnik rozsyła w internecie żądania i oczekuje na odpowiedzi komputerów zainfekowanych robakiem Sasser.Po otrzymaniu odpowiedzi robak wykorzystuje lukę w serwerze FTP instalowanym przez Sassera w celu uruchomienia własnego interpretera poleceń na losowym porcie. Następnie robak wysyła własny kod do atakowanego komputera i uruchamia go. Robak nie zawiera żadnych niebezpiecznych procedur. Jego działanie polega wyłącznie na rozprzestrzenianiu się.