Активизировался новый вирус - W32.Gaobot.worm.ak, являющийся "троянским конем". Заражению подвержены все версии Windows, построенные на технологии NT - Windows NT, 2000, XP.

Данный вирус проникает в систему через брешь в системе безопасности самой операционной системы: MS03-001 (RPC Locator) MS03-026 (Dcom RPC). На сайте Microsoft.com доступны патчи для устранения данной уязвимости.

Описание:
При заражении червь копирует в системную папку 2 файла, SCVHOST.EXE и LSAS.EXE, и регистрируется системном реестре:
HKEY_LOCAL_MACHINE
Config Loader = SCVHOST.EXE
HKEY_LOCAL_MACHINE
Config Loader = SCVHOST.EXE

Проявления:
Наличие записей в системном реестре и самого вируса в системном каталоге.
Программа соединяется с различными серверами HTTP и IRC, подключается к указанному в её теле каналу и получает команды удалённого управления от "хозяина", позволяя, в частности, загружать и запускать на компьютере удалённые файлы, сканировать другие компьютеры на наличие уязвимостей и устанавливать себя на эти компьютеры, используя обнаруженные уязвимости.
При заражении на компьютере проявляется очень большой дополнительный траффик на 135, 445, 5599, 9900 портах, блокирующий работу как самого пользователя, так и в сети Интернет в целом.

Методы лечения:
Необходимо через диспетчер задач снять выполнение SCVHOST.EXE и LSAS.EXE, затем через проводник удалить эти файлы из системной папки. В завершении провести обновление системы через Internet Explorer, открыть меню Tools (Сервис) и запустить Windows Updates. Дождаться завершения обновлений и следовать инструкциям обновления.
При необновлении системы возможно повторное заражение компютера этим или подобными вирусами, а также большой исходящий и входящий трафик.