Недельный отчет о вирусах

Мадрид - Екатеринбург, 19.02.2004 - Девять червей, троянца, утилиту скрытого управления и рекламную программу мы рассмотрим в отчете, посвященном событиям прошедшей недели. Семь из девяти червей, упоминаемых нами, связаны с Mydoom. - DoomHunter.A попадает на компьютеры через лазейки, оставленные Mydoom.A и Mydoom.B. Обнаружив червей Blaster или Doomjuice, он устраняет все их следы.

Более того, он пытается открыть порт TCP 3127 и, в случае успеха, он следит за ним до тех пор, пока компьютер, зараженный Mydoom.A или Mydoom.B, не попытается получить к нему доступ. В таком случае DoomHunter.A отправляет свою копию по IP адресу обнаруженного компьютера, запускает ее и пытается обезвредить Mydoom.A и Mydoom.B. - Mitglieder.A также попадает в системы через лазейки, оставленные червями Mydoom, копируя себя в системы под именем system.exe. Он создан для завершения процессов определенных приложений. Кроме того, он создает запись в Реестре Windows для обеспечения своего присутствия на компьютере. - Deadhat.A и Deadhat.B распространяются через программу обмена файлами SoulSeek, а также через Интернет. Данные черви вызывают проблемы с загрузкой, поскольку они удаляют файлы, необходимые для корректного функционирования компьютера, и завершают процессы, выполняемые определенными антивирусами и межсетевыми экранами. Кроме того, они завершают процессы Mydoom.A и Mydoom.B- . Deadhat.A и Deadhat.B открывают порт TCP 2766 и подключаются к серверу IRC, где ожидают команды управления, чтобы выполнить их на пораженных компьютерах. Кроме того, они позволяют загружать файлы на компьютер через удаленное соединение. Эти черви отличаются размером, а также файлом, создаваемым на зараженных к- омпьютерах. - Nachi.B заражает только компьютеры с Windows XP/2000/NT и распространяется на максимально возможное число компьютеров, используя известные бреши, такие как RPC DCOM, IIS WebDav и Workstation Service Overflow. Он распространяется путем атаки компьютеров и использования упомянутых выше брешей. 1 июня 2004 года, а также после этого числа червь удаляет себя. Nachi.B удаляет Mydoom.A и Mydoom.B, завершая их процессы и удаляя соответствующие файлы. - Doomjuice.A и Doomjuice.B распространяются через Интернет, используя лазейки, оставленные Mydoom.A и Mydoom.B на зараженных компьютерах. Черви инициируют распределенные отказы в обслуживании на веб сайте www.microsoft.com. Версия B Doomjuice отличается от версии A размером и форматом сжатия. Также Doomjuice.A заносит на компьютеры файл, содержащий код Mydoom.A. Версия B этого не делает. - Yenik.A распространяется по электронной почте в сообщении с изменяемыми характеристиками, а также через программы обмена файлами. Он автоматически распространяется по электронной почте путем отправки себя по всем адресам, найденным в адресной книге Windows. Для этого червь использует собственный SMTP механизм. - Dumaru.AA распространяется по электронной почте в сообщении с вложенным файлом DOCUMENT.ZIP. При запуске этого файла компьютер заражается Dumaru.AA. ТроянецStartPage.AV, изменяет адрес домашней страницы и опции поиска в Internet Explorer. После запуска StartPage.AV остается резидентным в памяти и открывает окно Internet Explorer, информирующее о низком уровне защиты компьютера и предлагающее загрузить утилиту. Затем StartPage.AV соединяется с веб сайтом и получает список ссылок, которые добавляются в папку Избранное.- Demo-GFI.A – это утилита скрытого управления, создающая текстовый файл, в который сохраняются следующие данные: папки и файлы на диске C:, имя домена, доступные сетевые принтеры и т.д. После запуска Demo-GFI.A открывает блокнот и отображает содержимое этого файла. И, наконец, BuddyLinks - это рекламная программа, попадающая на компьютеры в то время, когда пользователь пытается получить доступ к веб странице www.wgutv.com или download.buddylinks.net, и соглашается установить элемент управления ActiveX. После попадания на компьютеры он рассылает ссылки на указанные страницы по всем контактам AOL Instant Messenger и отображает игру с участием Саддама Хуссейна и Осамы Бин Ладена. Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software.

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 16 февраля 2004 г.

Ключевые слова: нет

Извините, комментариев пока нет