ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Екатеринбург, 30 августа 2004.
✐ место для Вашей рекламы
В отчете, посвященном событиям прошедшей недели, мы рассмотрим пять вредоносных кодов: вирус Shruggle.1318; двух червей - Sasser.G и Gaobot.AIR; а также два троянца - MhtRedir.S и StartPage.JL.
Shruggle.1318 не способен распространяться автоматически при помощи своих средств. Он заражает компьютеры, на которые ранее были переданы зараженные файлы. Такие файлы могут попадать на компьютеры через классические средства распространения вирусов (дискеты, электронные сообщения с вложенными файлами, файлы, полученные из Интернета, через FTP, каналы IRC и программы обмена файлами P2P).
Shruggle.1318 заражает файлы PE и DLL (Dynamic Link Library) в 64 битных операционных системах Windows для процессоров AMD.
Первым червем нашего отчета является Sasser.G, распространяющийся через Интернет, атакуя удаленные компьютеры и используя брешь LSASS. Для этого он отправляет ICMP запросы на случайный IP адрес через порт TCP 445.
Sasser.G автоматически распространяется только на компьютерах с ОС Windows XP/2000, а работает и во всех остальных версиях ОС Windows, если файл, содержащий червя, открывается пользователем. Наконец, стоит заметить, что Sasser.G использует брешь LSASS, вызывая переполнение буфера в программе LSASS.EXE, что ведет к перезагрузке компьютера.
Gaobot.AIR - это червь, создающий лазейку на компьютере и использующий широкий ряд средств распространения, перечисленных ниже:
- Он использует бреши LSASS, RPC DCOM и WebDAV для распространения через Интернет.
- Делает свои копии на общих сетевых ресурсах, к которым удается получить доступ.
- Попадает на компьютеры с SQL Server с паролем системного администратора.
- Может попадать на компьютеры с программой DameWare Mini Remote Control, а также на компьютеры с троянцами: Optix, NetDevil, Kuang и SubSeven.
Gaobot.AIR предоставляет возможность удаленного управления зараженным им компьютером, разрешая атакующему выполнять следующие типы действий: выполнять команды, загружать и запускать файлы, а также перехватывать вводимую с клавиатуры информацию.
Завершим наш отчет описанием MhtRedir.S, троянца, использующего брешь, представленную в бюллетене Microsoft MS04-013, для попадания на компьютеры во время просмотра пользователем страниц с вредоносным содержимым.
После запуска MhtRedir.S соединяется с определенной веб страницей и загружает файл HELP.CHM. Этот файл содержит троянца StartPage.JL, который изменяет адрес домашней страницы Internet Explorer и опции поиска, устанавливаемые по умолчанию.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 30 августа 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|