Червь пытается подключиться к порту 1025 и произвести нападение. Если оно прошло успешно, то в директории %System%/wins появляется три новых файла sqlexp.exe, sqlscan.exe (сканер портов) и svchost.exe, которые и являются сетевым червем. После запуска основной программы червя он пытается атаковать внешние системы и записывает результаты атаки в файлы log.txt и Result.txt в той же директории. Червь открывает доступ к захваченному компьютеру для хакеров, обращаясь за командами по адресу 222.240.219.143. За несколько дней было выпущено сразу два варианта червя, так что это, похоже, лишь предварительная атака, которая обычно проводится для демонстрации возможностей данной уязвимости. Червь пока не получил большого распространения, но, возможно, скоро будет продан создателям зомби-сетей, что может привести к появлению нескольких более опасных его разновидностей.

Поделитесь материалом с коллегами и друзьями