ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Сегодняшний отчет посвящен семи червям: четырем версиям Mydoom (T, U, V и W), Mywife.D, Mywife.C и Sdbot.AQA, и двум программам adware: Neededware и Wupd.
✐ место для Вашей рекламы
Екатеринбург, 10 сентября 2004
Mydoom.T, Mydoom.U, Mydoom.V и Mydoom.W распространяются по электронной почте с различными характеристиками. Версия “T” также использует для размножения программу обмена файлами KazaA P2P, копируя самого себя с привлекательными именами в общую папку приложений.
Версии U, V и W Mydoom подключаются к нескольким веб сайтам, с которых они пытаются загрузить файл (Троянец) и установить его на компьютер. Mydoom.T открывает приложение Блокнот и выводит на экран искаженный текст.
Следующие черви из нашего отчета – это Mywife.D и Mywife.C, которые также распространяются по электронной почте в сообщении с различными характеристиками. Оба эти вируса имеют следующие черты:
- Через несколько секунд после запуска они блокируют компьютер, т.к. они потребляют все доступное время процессора.
- Они удаляют файлы, принадлежащие нескольким антивирусным программам, если они установлены в тех же директориях, что и указанные в коде вируса. Они также удаляют записи в Реестре Windows, принадлежащие этим антивирусным программам, таким образом, что эти приложения не могут быть запущены автоматически в следующий раз, когда Windows будет запущен. Они также пытаются найти и закончить процессы антивирусов и других программ компьютерной безопасности. Это делает компьютер уязвимым для атак других вредоносных кодов. - Они также удаляют записи, принадлежащие другим червям, такие как Mydoom.A, Mimail.T и несколько версий Bagle.
- Они открывают Windows Media Player.
Последний червь этого отчета - Sdbot.AQA, который распространяется по компьютерной сети. Это происходит путем проверки ПК на подключение к сети. Если компьютер подключен, червь пытается получить доступ и скопировать себя в общие сетевые ресурсы, пробуя стандартные или простые пароли.
Sdbot.AQA позволяет хакерам получить удаленный доступ к зараженному компьютеру для исполнения на нем действий, которые нарушат конфиденциальность пользователя и помешают нормальной работе компьютера. Sdbot.AQA использует свой собственный клиент IRC для подключения к каналу IRC и принятия команд удаленного контроля, такие как DoS (распределенные отказы от обслуживания) веб сайтов. Также он может загрузить и запустить файлы на зараженном компьютере.
Заканчиваем сегодняшний отчет программами adware Neededware и Wupd. Эти программы позволяют программам загрузиться и запуститься без согласия пользователя. Легко определить нахождение этих программ на Вашем компьютере, т.к. они выводят на экран рекламные сообщения. Wupd также прослеживает Интернет активность и результаты отображения на экране рекламы.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 13 сентября 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|