Robak Winser

W sieci pojawił się nowy robak, Winser. Rozprzestrzenia się on poprzez opisywaną przez nas ostatnio lukę w WINS, przez port 42/TCP.

Robak po udanym ataku instaluje się w systemie pod nazwą „ccSetMngr.exe”. Następnie otwiera tylną furtkę na portach 36010/TCP i 37264/TCP oraz dodaje następujący wpis do rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\nortonsantivirus

Tylna furtka wykorzystywana jest do kontroli nad komputerami (połączonymi w botnet) za pośrednictwem IRC.

Pomimo relatywnie małej ilości komputerów podatnych na tego robaka (z działającym serwerem WINS), przypominamy o konieczności uaktualnienia posiadanego oprogramowania.

Dodatkowe informacje o robaku na stronach firmy Sophos.

Źródło informacji: CERT Polska