ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
В отчете, посвященном событиям прошедшей недели, мы рассмотрим трех троянцев, предоставляющих удаленный доступ к компьютеру - Webber.S, Webber.P и Agent.E, двух троянцев - Bankhook.A и Scob.A, а также три новые версии Korgo.
✐ место для Вашей рекламы
Webber.S и Webber.P являются троянцами, предоставляющими удаленный доступ к компьютеру, позволяя злоумышленникам похищать конфиденциальную информацию. Эти две версии различаются лишь средствами распространения.
Webber.P распространяется путем изменения настроек веб серверов, использующих IIS 5.0 (Internet Information Services). В результате данные серверы включают в себя вредоносный скрипт Java, обнаруживаемый Panda Software как Exploit/DialogArg, на содержащихся на них страницах. Данный код использует брешь в Internet Explorer, позволяющую загрузить и запустить Webber.P на компьютере без ведома пользователя.
Webber.S также распространяется при посещении пользователями определенных веб страниц, содержащих вредоносный скрипт. Из-за наличия бреши в Internet Explorer данный скрипт способен загружать и запускать Webber.S на компьютере без ведома пользователя.
Webber.P открывает два TCP порта, для того чтобы зараженный компьютер работал в качестве прокси сервера.
Третьим троянцем, предоставляющим удаленный доступ к компьютеру, является Agent.E, устанавливающий сам себя при посещении пользователем определенных веб сайтов. Этот вредоносный код создает динамическую библиотеку на компьютере жертвы, которая контролирует некоторые функции Internet Explorer. Agent.E позволяет выполнять следующие действия: получать информацию из системы, доступ к файлам, принадлежащим определенным приложениям, использовать объекты коммуникаций и т.- д. Троянец Bankhook.A устанавливает себя на компьютеры пользователей, используя брешь MhtRedir, обнаруженную в Internet Explorer. Bankhook.A изменяет Реестр Windows на поражаемом компьютере для обеспечения своего запуска при каждой загрузке Internet Explorer.
Bankhook.A просматривает HTTPS трафик, генерируемый на зараженном компьютере, в поисках данных, связанных с различными онлайновыми банками. В случае успеха Bankhook.A перехватывает конфиденциальную информацию (имя пользователя, пароли, номера счетов, номера кредитных карт и т.д.) и отправляет ее на удаленный компьютер при помощи скрипта.
Второй троянец сегодняшнего отчета - Scob.A, заражающий только компьютеры с Windows XP/2000/NT, работающие как веб серверы, если они имеют IIS 5.0 (Internet Information Services). Scob.A изменяет настройки приложений таким образом, что вредоносный код (Exploit/DialogArg) включается во все файлы, передаваемые с этих серверов.
В завершение нашего отчета мы рассмотрим версии U, V и W Korgo. Все эти вредоносные коды используют брешь Windows LSASS для автоматического распространения на компьютеры через Интернет. Хотя эти вредоносные коды и способны заражать все версии Windows, автоматически делать это они могут только на компьютерах с Windows XP/2000. Все эти версии Korgo соединяются с определенными веб сайтами и пытаются загрузить с них файлы. Также они пытаются отправить на эти веб сайты информацию о стране, в которой они заразили компьютер.
Korgo.U, Korgo.V и Korgo.W остаются резидентными в памяти компьютера. В отличие от других вредоносных кодов, использующих брешь LSASS, они не выводят на экран сообщения об ошибке или таймера обратного отсчета, а также не перезагружают компьютер.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/.
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 5 июля 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|