13 апреля, 2007 год. Новый вариант червя Storm (aka Snow Worm) атакует e-mail ящики по всему миру выдавая себя за заплатку или фикс. Последнюю версию этого червя связывают с червем, который Trend Micro назвали Nuwar.AOP.The Trojan; часть этого червя известна как Small(Kaspersky and Trend Micro), Downloader(McAfee), Peacomm(Symantec), а создатель назвал CME (Common Malware Enumeration) 711. По словам Кна Данхэма (Ken Dunham) из iDefense, этот вариант червя включает в себя противозащитные меры для усложнения анализа и отправляет копии себя в запароленном ZIP архиве для уклонения от антивирусов. Потом червь отправляет электронные письма в виде по-разному названных файлов, разных паролей и бинарников в ZIP архиве. По словам одного источника, строки объекта включают в себя: "Worm Alert!" "Worm Detected" "Virus Alert" "ATTN!" "Trojan Detected!" "Worm Activity Detected!" "Spyware Detected!" "Virus Activity Detected!" По словам SANS Internet Storm Center, zip архив может быть назван: "patch-(4-5 случайных чисел).zip" "bugfix-(4-5 случайных чисел).zip" "hotfix-(4-5 случайных чисел).zip" "removal-(4-5 случайных чисел).zip" После первого запуска червь устанавливает руткит на зараженной системе и соединяется с приватной p2p сетью для апдейта самого себя. Эта вариация червя может быть подготовкой к ещё одной, более серьёзной атаке в будущем. Некоторые факты: Имя: Storm worm (aka Small (Kaspersky and Trend Micro), Downloader (McAfee), Peacomm (Symantec)) Обнаружен: 04/12/07 CME номер: CME-711 ПО, подверженное этой уязвимости: Microsoft Windows Действия: Устанавливает руткит и соединяется с p2p сетью для обновлений. Рекомендации: Не открывать файлы, прикрепленные к письму не проверив заранее их антивирусом. Имеется ли исходный код: нет Имеется ли заплатка: нет Рейтинг вируса: 6 из 10. (таблица такого рейтинга ) (с) _ttp://news.zdnet.com