W32/IRCbot worm overtreft Sasser record

Security-experten hebben de risicograad voor de recente ontdekte W32/IRCbot.worm!MS05-039, ook bekend als IRCbot.worm!MS05-039 opgevoerd tot ‘hoog’. De worm, een Internet Relay Chat (IRC) Bot, verspreidt zich ook via systemen die nog geen patch hebben voor het MS05-039 veiligheidslek.

Volgens het anti-virus team van McAfee is de IRCbot.worm!MS05-039 worm opgedoken in de week na de eerste bekendmaking van het beveiligingslek en heeft de boosdoener zich sindsdien zelfs sneller en massaler verspreid dan het Sasser-virus dat er 14 dagen over deed. McAfee ontving tot op vandaag meer dan 150 meldingen dat het virus gestopt werd of eindgebruikerpc’s infecteerde. Het merendeel van de meldingen komt uit de States, de rest uit Azië en Europa.Zodra het IRCbot.worm!MS05-039 wormvirus geactiveerd is, neemt het contact op met een IRC server op afstand en wacht het op verdere instructies. Als het terechtkomt op een systeem dat het MS05-039 beveiligingslek nog niet gedicht heeft, zal het dat steeds opnieuw afsluiten en herstarten. De geïnfecteerde systemen controleren het gegevensverkeer op TCP poort 8594.Terwijl het bestand loopt, kopieert het virus zichzelf naar de Windows System directory als WINTPB.EXE.