Вирусы и троянские программы, выпущенные после червя Sasser, и использующие его функционал, продолжают распространяться, однако этот процесс протекает медленно и по масштабам далеко отстает от "родительского", утверждают специалисты F-Secure.
Эксперты финской компании изучили три варианта червей, подобных Sasser. Новый, Lebreat, распространяет себя посредством массовой почтовой рассылки. Попав на компьютер либо самостоятельно, используя уязвимость сервиса Windows LSASS (сервис местной подсистемы авторизации безопасности), закрытую в прошлом году, либо при помощи пользователя - щелчком мыши по вложению, червь загружает программу массовой почтовой рассылки для отправки своих копий по электронным адресам в адресной книге и пытается совершить DoS-атаку против сайта компании Symantec. Для внедрения на компьютеры самостоятельно, Lebreat сканирует диапазоны IP-адресов и порт, на котором работает сервис LSASS. Червь также известен под именами Breatle или Reatle, которые ему дали в других антивирусных компаниях.
Письма от Lebreat содержат вложение Breatle AntiVirus v1.0. Для того, чтобы заинтриговать пользователя, выбирается одна из нескольких тем наподобие "С Вашей кредитной карты снят платеж $500. Для дополнительной информации смотрите вложение".
Специалисты F-Secure обнаружили еще два подобных червя. Сам Lebreat был классифицирован как представляющий опасность 2-го уровня - "вызывающий массовые заражения". В MessageLabs обнаружили 5636 копий электронных писем с Lebreat, по данным на конец пятницы. В Symantec также обнаружили этого червя, и, по словам директора по менеджменту продуктов Symantec Security Response Дэйва Коула (Dave Cole), он не распространился широко. Коул подтвердил содержание в теле червя кода атаки на сайт компании, но сказал, что в Symantec не волнуются по этому поводу из-за малой распространенности вредоносного кода.
Как обычно, компании советуют покупать последние версии своих продуктов для защиты от новых вирусов, не открывать незнакомые вложения и вовремя устанавливать последние "заплатки" на Windows.

CNews