ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
В нашем отчете, посвященном событиям прошедшей недели, мы рассмотрим шесть червей - Plexus.A, Cult.J и четыре версии Korgo, а также Protoride.gen.
✐ место для Вашей рекламы
Plexus.A распространяется через Интернет, используя бреши RPC DCOM и LSASS и рассылая себя по всем адресам, обнаруженным на пораженном компьютере и доступных устройствах.
Plexus.A перезаписывает базовый файл, не позволяя компьютеру соединяться с определенными веб адресами антивирусных компаний, что приводит к невозможности обновлять установленную защиту. Plexus.A получает доступ к папке KaZaA и копирует себя в нее. Кроме того, он создает свои копии в общих сетевых папках.
Cult.J распространяется по электронной почте в сообщении с темой: 'Hello, I sent you a beautiful love card. ^_*' и вложенным файлом: 'BEAUTIFULLOVE.PIF'. После запуска файла червь рассылает свои копии по некоторым адресам, используя свой собственный SMTP механизм.
Cult.J остается резидентным в памяти компьютера и пытается соединиться с каналом IRC. Если ему удается установить соединение, то вредоносный код предоставляет атакующему удаленный доступ к зараженному компьютеру, позволяя злоумышленнику выполнять различные действия, в том числе:
- Проводить атаки через IRC. - Высылать конфиденциальную и системную информацию. - Загружать и запускать файлы. - Рассылать червей в другие каналы IRC.
Protoride.gen – это механизм обнаружения версий червя Protoride, которые могут появиться в будущем. Вредоносные коды этого семейства обладают следующими характеристиками:
- Они распространяются через компьютерные сети путем копирования себя на сетевые ресурсы, к которым им удается получить доступ. - Они соединяются с каналом IRC через порт 6667 и ожидают команд хакера (на загрузку и запуск файлов, скрытие активных процессов и т.д.). - Они изменяют Реестр Windows, предотвращая запуск EXE файлов. В результате некоторые приложения перестают работать.
Следующими червями отчета являются версии C, D, E и F Korgo, распространяющиеся через Интернет, используя брешь LSASS. Все версии открывают порт 3067 и просматривают его. Кроме того, они пытаются соединиться с серверами IRC и не позволяют выключить компьютер.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/.
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 7 июня 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|