"Лаборатория Касперского" обнаружила очередную вредоносную программу Padobot.А, использующую при распространении дыру в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Windows 2000 и ХР. Бюллетень безопасности для устранения данной уязвимости, напомним, корпорация Microsoft выпустила около полутора месяцев назад. Однако несмотря на многочисленные предупреждения, заплатку установили далеко не все пользователи, и огромное количество так и не пропатченных компьютеров приводит к возникновению новых вирусных эпидемий.

Червь Padobot.А написан на языке C++ и упакован UPX (размер около 10 кб). После заражения инфицированная машина выводит сообщение об ошибке "LSASS service failing" и пытается перезагрузиться. Вредоносная программа модифицирует реестр, обеспечивая себе автоматический запуск при старте ОС, создает в памяти уникальные идентификаторы и открывает порты 113, 3067 и 2041 для приема команд. Далее вирус старается соединиться с каналами на нескольких IRC-серверах, в том числе, irc.kar.net, lia.zanet.net, moscow-advokat.ru и washington.dc.us.undernet.org. Эти серверы используются для получения управляющих инструкций и передачи данных. При размножении червь выбирает произвольные IP-адреса.

Следует добавить, что, помимо версии Padobot.A, специалисты "Лаборатории Касперского" зафиксировали появление модификации вируса с индексом "В", которая функционально практически ничем не отличается от оригинала. Процедуры защиты от Padobot уже добавлены в антивирусные базы данных.