|
2月12日消息两周前首次爆发并仍然在给全球的Windows用户带来苦恼的MyDoom是互联网上有史以来传播速度最快的蠕虫病毒,它目前还没有停下罪恶的脚步。安全专家于当地时间本周三发现了它的另一个同胞:MyDoom.d,也被称作Doomjuice.b。
与MyDoom.c/Doomjuice一样,新的变种也扫描被MyDoom或MyDoom.b感染的计算机,然后自己再感染该系统。因此,大多数安全公司都报告发现的MyDoom.b/Doomjuice.b病毒感染事例非常少。截止到本周三中午,尽管将该病毒的危险定级评为2,赛门铁克公司还没有收到客户被感染MyDoom.d病毒的报告。
iDefense公司的恶意代码研究主管肯表示,最初的分析表明,MyDoom.d/Doomjuice.b与MyDoom.a基本上完全相同。二种病毒都扫描TCP 3127端口━━它表明计算机已经感染MyDoom病毒而且没有被查杀,都在计算机上安装其它代码。这二种病毒都都对微软公司的主网站发动拒绝服务攻击(DoS)。
据美国和俄罗斯的安全专家表示,但是,MyDoom/Doomjuice的最新变种能够发动更有效的DoS攻击。Kaspersky实验室于当地时间本周三表示,MyDoom.d/Doomjuice.b将在每个月(1月份除外)中除8日-12日之外的所有日期中对微软公司的网站发动连续、多次请求的DoS攻击。另一方面,MyDoom.c/Doomjuice则只发送一个GET请求。
Kaspersky实验室的研究人员于本周三还指出,MyDoom.d/Doomjuice.b的作者使用了在这类攻击中不常使用的服务器请求技术。MyDoom.d/Doomjuice.b对microsoft.com的请求则模仿了IE的请求文本,这使得微软公司很难将二者区别开来。Kaspersky实验室的发言人丹尼斯在一份电子邮件中说,这可能提高了病毒的破坏能力。
MyDoom.d/Doomjuice.b与MyDoom非常相似。肯表示,MyDoom.d是略经修改的MyDoom.a的一个变种,它简单地使用了MyDoom.a的源代码。
肯和其它安全专家表示,MyDoom.c/Doomjuice的作者利用MyDoom源代码的目的是,即使被逮捕后也很难被起诉,或者呼吁其它黑客攻击微软。肯说,MyDoom.d/Doomjuice.b和MyDoom的相似就是一种迹象,利用以前的源代码是出于后一个目的。
| 
