ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Мадрид - Екатеринбург, 24.11.2003 - В сегодняшнем отчете сы рассмотрим двух червей - версии J червя Mimail и E червя Lohack-, а также троянца Banbra.B.
✐ место для Вашей рекламы
Mimail.J распространяется по электронной почте в сообщении с темой «IMPORTANT» и вложенным файлом w w w.paypal.com.pif. Данный червь использует технологии социального инжиниринга для обмана пользователей и распространения на как можно большее число компьютеров. Как и в версии I, сообщение, содержащее Mimail.J, тематически связано с платежной системой PAYPAL.
После запуска данный вредоносный код выводит на экран изображение, имитирующее главную страницу финансового ресурса. После этого Mimail.J собирает информацию, вводимую пользователем, и отправляет ее по электронной почте. На компьютерах с Windows Me/98/95 он запускается как сервис, поэтому не появляется в Диспетчере задач.
Mimail.J ищет электронные адреса во всех файлах, кроме тех, что имеют следующие расширения: COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG и BMP, и сохраняет их в файле el388.tmp. После этого вредоносный код рассылает себя по всем найденным адресам, используя свой собственный SMTP механизм, и соединяется с IP адресом 212.5.86.163, принадлежащим российскому почтовому серверу.
Второй червь нашего отчета, Lohack.E, распространяется по электронной почте через сетевые компьютеры, а также через программу обмена файлами KaZaA. Для этого он использует сообщения, имеющие сильно изменяющиеся параметры. Для обмана пользователей многие из этих сообщений якобы связаны с Испанским Информационным Обществом и Законом о почтовых сервисах. Более того, Lohack.E подделывает адрес отправителя так, что кажется, чтосообщение было отправлено надежным источником, таким как Министерство Науки и Технологий или Panda Antivirus.
Lohack.E активируется автоматически при просмотре содержащего его сообщения в Окне быстрого просмотра Outlook. Он делает это, используя брешь Exploit/Iframe, присутствующую в версиях 5.01 и 5.5 браузера Internet Explorer, которая позволяет автоматически запускать файлы, вложенные в электронные сообщения.
Завершим наш сегодняшний отчет описанием Banbra.B - троянца, похищающего данные о номерах счетов и паролях в следующих организациях: Internet Banking Caixa, Bradesco Internet Banking и Banco do Brazil. Кроме того, он отслеживает посещаемые пользователем веб страницы. Если пользователь посещает один из вышеуказанных ресурсов, то Banbra.B выводит на экран ложный аутентификационный интерфейс для того, чтобы получить конфиденциальную информацию, которая впоследствии отправляется по FTP автору троянца.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 24 ноября 2003 г.
Ключевые слова: нет
Извините, комментариев пока нет
|