ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
В отчете, посвященном событиям прошедшей недели, мы рассмотрим пять червей, распространяющихся по электронной почте - версии R и Q Netsky, V и U Bagle и E Sober, а также троянца Seeker.O.
✐ место для Вашей рекламы
Netsky.R и Netsky.Q выполняют следующие действия:
- Удаляют из Реестра записи, принадлежащие некоторым червям, таким как Mydoom.A, Mydoom.B, Mimail.T и некоторым версиям Bagle.
- Пытаются инициировать отказы от обслуживания (DoS) на некоторых веб сайтах.
Netsky.Q активируется автоматически при просмотре сообщения, содержащего его в окне быстрого просмотра Outlook. Он делает это путем использования бреши Exploit/Iframe, присутствующей в версиях 5.01 и 5.5 Internet Explorer и позволяющей автоматически запускать вложенные файлы. Netsky.Q эмитирует различные звуки в период с 5:00 до 10:59 часов утра 30 марта 2004.
Bagle.V и Bagle.U распространяются в электронных сообщениях, опознать которые достаточно просто, так как тема и текст сообщения пусты, а расширение вложенного файла, несмотря на то, что его имя изменяется, - всегда EXE. Кроме того, эти версии функционируют только до 1 января 2005 года.
После запуска файлов, содержащих версии V и U Bagle, они открывают порт TCP 4751. Через него они пытаются соединиться с веб страницей для получения данных на зараженный компьютер. Таким образом автор вируса получает доступ к системе. Помимо схожих характеристик у этих червей есть и различия: - Значок вложенного файла, содержащего Bagle.V представляет собой изображение шприца, а Bagle.U - часы.
- Bagle.U запускает игру Windows Червы, если она установлена на зараженном компьютере. Пятым червем сегодняшнего отчета является Sober.E, загружающий файл из Интернета, если системная дата имеет значение до 24 марта 2004. Кроме того, он пытается соединиться с некоторыми NTP серверами для того, чтобы проверить текущую дату. Опознать червя достаточно просто, так как при запуске он открывает Windows Paint или выводит на экран следующий текст: «Graphic Modul not found». Завершим наш отчет описанием Seeker.O, троянца, находящегося в памяти компьютера. Раз в час троянец пытается открыть различные рекламные веб страницы, некоторые из которых пытаются загрузить на компьютер и установить шпионские и рекламные программы.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 5 апреля 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|