ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
В отчете, посвященном событиям прошедшей недели, мы рассмотрим червей Bobax.A, Bobax.B, Bobax.C, Kibuv.A и Lovgate.AF, а также троянца Ldpinch.W.
✐ место для Вашей рекламы Три версии червя Bobax (A,B и C) очень схожи друг с другом. Единственным различием является размер заражающего кода. Основной характеристикой этого нового семейства является то, что, как и Sasser, они используют брешь Windows LSASS для распространения. Таким образом, они ищут компьютеры в сети, содержащие упомянутую брешь. В случае успешного обнаружения Bobax высылает инструкции уязвимому компьютеру на загрузку и запуск копии червя. После использования бреши LSASS они инициируют переполнение буфера, что приводит к перезагрузке компьютера.
Несмотря на то, что брешь LSASS присутствует только в системах Windows XP/2000, Bobax и все его версии могут также заражать и другие платформы Windows. Во втором случае черви Bobax не способны распространяться автоматически: для этого требуется запуск пользователем файла, содержащего копию червя.
После запуска черви Bobax открывают некоторые TCP порты, позволяя хакерам использовать зараженные компьютеры как почтовые SMTP серверы. Таким образом, компьютеры превращаются в зомби, рассылающие спам.
Kibuv.A – еще один имитатор Sasser. Их действия очень схожи. Он также использует для распространения брешь LSASS, перезагружая компьютер. Как и черви Bobax, Kibuv.A поражает все операционные системы Windows, но распространяется автоматически только в Windows XP/2000.
Lovgate.AF – это червь, предоставляющий возможность удаленного доступа и использующий несколько способов распространения, такие как: путем рассылки по электронной почте, через программу обмена файлами KaZaA, через общие сетевые ресурсы и т.д.
После попадания на компьютер Lovgate.AF открывает порт и отправляет удаленному пользователю электронное сообщение, уведомляющее о том, что компьютер заражен и существует возможность получить к нему доступ.
Наконец, троянец Ldpinch.W. был разослан хакерами со спамом в сообщениях с темой 'Important news about our soldiers in IRAQ!!!'. Сообщение содержит текст о конфликте в Ираке, а также содержит ссылку на веб страницу. Это сообщение содержит сжатый файл IMPORTANT INFORMATION.ZIP, содержащий файл IMPORTANT INFORMATION.SCR. При запуске этого файла Ldpinch.W устанавливается на компьютер.
Ldpinch.W похищает конфиденциальную информацию с зараженного компьютера и отправляет ее по определенному адресу. Таким образом, автор вируса может использовать эти данные во вредоносных целях. Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/.
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользов- ателей.
Опубликовано: 25 мая 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
