Worm otwierający port TCP na ataki hakerów

Firma Panda Software poinformowała o pojawieniu się nowego robaka internetowego o nazwie W32/Zoek, przenoszącego się za pomocą poczty elektronicznej. Zainfekowana wiadomość nosi tytuł Maxima Screensaver!, a tekst zachęca do wejścia na wskazaną stroną internetową i pobranie wygaszacza ekranu.

Firma Panda Software poinformowała o pojawieniu się nowego robaka internetowego o nazwie W32/Zoek, przenoszącego się za pomocą poczty elektronicznej. Zainfekowana wiadomość nosi tytuł Maxima Screensaver!, a tekst zachęca do wejścia na wskazaną stroną internetową i pobranie wygaszacza ekranu.

W rzeczywistości pod wskazanym adresem znajduje się robak internetowy, który dostaje się na komputer ofiary w momencie otwarcia strony. Po uaktywnieniu robak wyświetla komunikat o konieczności ponownego uruchomienia komputera. W systemie instalowany jest też koń trojański Bck/Zoek, który otwiera port 33530 TCP, umożliwiając hakerom zdalny dostęp do zasobów zainfekowanego komputera. Robak rozsyła swoje kopie pod wszystkie adresy znajdujące się w książce adresowej ofiary.

W32/Zoek został napisany w języku Borland Delphi i skompresowany za pomocą narzędzia UPX do rozmiaru 21 7600 Bajtów.

Wiadomość wygląda następująco:

Temat: Maxima Screensaver!

Treść: Tu znajduje się adres strony zawierającej konia trojańskiego.

Po uaktywnieniu W32/Zoek wymusza na użytkowniku restart systemu, wyświetlając informację:

One moment please

Windows Restart?

Po ponownym uruchomieniu komputer jest podatny na ataki hakerów (zostaje otwarty port 33530 TCP).