В отчете, посвященном событиям прошедшей недели, будут рассмотрены нами вирус Lovgate.AO и три червя - Korgo.X, Evaman

A и Bagle.AD. В отчете, посвященном событиям прошедшей недели, будут рассмотрены нами вирус Lovgate.AO и три червя - Korgo.X, Evaman. A и Bagle.AD.

Lovgate.AO – это вирус, имеющий характеристики червя и распространяющийся по электронной почте и через общие сетевые ресурсы, используя брешь переполнения буфера в интерфейсе RPC DCOM Interface. Он поражает компьютеры с Windows 2003/XP/2000/NT и заражает файлы с расширениями EXE, вставляя код в начало и конец каждого из них.

Lovgate.AO устанавливает на зараженном компьютере программу, предоставляющую возможность удаленного доступа к нему. Эта программа отслеживает случайно выбранные порты. Делается это для того, чтобы предоставить удаленный доступ к компьютеру и выполнять действия, которые могут нарушить конфиденциальность хранящихся на компьютере данных (собранная информация отсылается создателю вируса) или нарушить нормальную работу пользователей. Кроме того, если Lovgate.AO обнаруживает определенные процессы в памяти компьютера (связанные с антивирусными программами и другими червями), то он прерывает их.

Первым настоящим червем, рассматриваемым нами в отчете, является Korgo.X, который использует брешь Windows LSASS для распространения через Интернет и автоматического попадания на компьютеры. Он заражает все системы Windows, но автоматически это происходит лишь в необновленных Windows XP и 2000.

Версия ‘X’ червя Korgo остается резидентной в памяти компьютера и соединяется с несколькими IRC серверами, с которых червь может загружать файлы и запускать их на зараженном компьютере.

Следующий червь, Evaman.A, распространяется через электронную почту в сообщении, имитирующем сообщение об ошибке. Данное сообщение рассылается по всем обнаруженным на определенном веб сайте адресам. В некоторых случаях, при первом запуске Evaman.A, он открывает Блокнот.

Завершим наш сегодняшний отчет описанием Bagle.AD, червя, распространяющегося по электронной почте и через программы обмена файлами P2P.

Bagle.AD открывает и прослушивает TCP порт 1234, ожидая удаленного соединения. Через это соединение он позволяет атакующему получить конфиденциальную информацию и выполнить действия, которые нарушат нормальную работу компьютера. Данная функция червя остается активной до 24 января 2005 года. Для оповещения своего автора о том, что доступен новый ПК через открытый порт, червь соединяется с веб сайтом со скриптом PHP.

Bagle.AD устраняет записи некоторых версий червя Netsky из Реестра Windows, не позволяя ему активироваться при загрузке системы. Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software Russia по адресу: http://www.viruslab.ru/.

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 12 июля 2004 г.

Ключевые слова: нет

Извините, комментариев пока нет