1 апреля Shadow перешла в новую стадию: в компьютерах, ранее зараженных различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте, будет обновлен вредоносный ПО и запущен генератор адресов к подготовленным заранее сайтам для получения с них инструкций по дальнейшей работе.

Каждые сутки будет генерироваться 50000 адресов. Из них будет выбираться 500 адресов, с которых будет производиться обновление вредоносного ПО. Обновление будет тщательно регулироваться, чтобы не перегружать хостинг-серверы, на которых расположены вредоносные серверы. Такой работе бот-сети препятствовать будет значительно сложнее.
 

Напомним, что Win32.HLLW.Shadow.based использует для своего распространения сразу несколько каналов. Среди них выделяются съёмные носители и сетевые диски.
Червь может распространяться и с использованием стандартного для Windows-сетей протокола SMB. При этом для обеспечения удалённого доступа к компьютеру Win32.HLLW.Shadow.based выбирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря.
Наконец, вирус распространяется по сети, пользуясь уязвимостью, которая устраняется путем критичного обновления, описанного в бюллетене Microsoft MS08-067.
 

«Доктор Веб» подчеркивает, что асоциальные действия совершают не только создатели Win32.HLLW.Shadow.based, но и пользователи, которые не обращают внимания на заражение своих компьютеров этими червями, становясь тем самым активными участниками бот-сети Shadow, и способствуют ее дальнейшему разрастанию.
 

Для борьбы с бот-сетью Shadow, перешедшей на новую стадию, пользователям антивирусных продуктов других производителей «Доктор Веб» рекомендует:
 

- немедленно установить на используемую систему все актуальные обновления, т.к. сетевой червь Win32.HLLW.Shadow.based активно использует известные уязвимости ОС семейства Windows.
 

- Обновить вирусные базы.
 

- Если ваш производитель антивируса не детектирует этого червя или не лечит от него систему, нужно воспользоваться актуальной версией бесплатной антивирусной утилиты Dr.Web CureIt! и провести полное сканирование зараженной системы.