13 апреля, 2007 год.

Новый вариант червя Storm (aka Snow Worm) атакует e-mail ящики по всему миру выдавая себя за заплатку
или фикс.

Последнюю версию этого червя связывают с червем, который Trend Micro назвали Nuwar.AOP.The Trojan;
часть этого червя известна как Small(Kaspersky and Trend Micro), Downloader(McAfee), Peacomm(Symantec),
а создатель назвал CME (Common Malware Enumeration) 711.

По словам Кна Данхэма (Ken Dunham) из iDefense, этот вариант червя включает в себя противозащитные
меры для усложнения анализа и отправляет копии себя в запароленном ZIP архиве для уклонения от антивирусов.
Потом червь отправляет электронные письма в виде по-разному названных файлов, разных паролей и бинарников
в ZIP архиве.

По словам одного источника, строки объекта включают в себя:

"Worm Alert!"
"Worm Detected"
"Virus Alert"
"ATTN!"
"Trojan Detected!"
"Worm Activity Detected!"
"Spyware Detected!"
"Virus Activity Detected!"

По словам SANS Internet Storm Center, zip архив может быть назван:

"patch-(4-5 случайных чисел).zip"
"bugfix-(4-5 случайных чисел).zip"
"hotfix-(4-5 случайных чисел).zip"
"removal-(4-5 случайных чисел).zip"

После первого запуска червь устанавливает руткит на зараженной системе и соединяется с приватной
p2p сетью для апдейта самого себя. Эта вариация червя может быть подготовкой к ещё одной,
более серьёзной атаке в будущем.

Некоторые факты:

Имя: Storm worm (aka Small (Kaspersky and Trend Micro), Downloader (McAfee), Peacomm (Symantec))

Обнаружен: 04/12/07

CME номер: CME-711

ПО, подверженное этой уязвимости: Microsoft Windows

Действия: Устанавливает руткит и соединяется с p2p сетью для обновлений.

Рекомендации: Не открывать файлы, прикрепленные к письму не проверив заранее их антивирусом.

Имеется ли исходный код: нет

Имеется ли заплатка: нет

Рейтинг вируса: 6 из 10. (таблица такого рейтинга )

(с) _ttp://news.zdnet.com