Недельный отчет о вирусах

В рамках сегодняшнего отчета мы рассмотрим EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD и Scranor.A.

Екатеринбург, 25 октября 2004

EMFTrojan.C – это программа, написанная для создания файлов с уродливыми изображениями, чтобы использовать брешь, через которую можно удаленно запускать код в отношении форматов изображений EMF (Enhanced Metafile), описанных в бюллетене Microsoft MS04-032.

EMFTrojan.C предоставляет несколько опций для конфигурации сгенерированного кода, позволяя выполнить следующие действия после открытия файла:

- Открыть порт, через который на пораженный компьютер могут быть отправлены кома- нды. - Загружает и запускает файл с определенной URL.

Для защиты компьютеров от этой и других похожих угроз Panda Software разработала Exploit/MS04-032.gen, механизм обнаружения EMF изображений, созданных специально для проникновения через эту брешь.

Первые черви сегодняшнего отчета – это версии AH и AI червя Netsky, которые распространяются через электронную почту, используя свой собственный движок SMTP, на те адреса, получаемые из файлов, объемом меньше чем 10,000,000 байт, имеющие следующие расширения: DBX, WAB, MBX, EML, MDB, TBB или DAT. Они отправляются через 10 минут после запуска, в период между 20 и 25 октября 2004 года. Для предотвращения одновременного заражения Netsky.AH и Netsky.AI создается мьютекс "0x452A561C".

Следующий червь сегодняшнего отчета - Bagz.E. Распространяется по электронной почте с различными характеристиками. Он останавливает процессы приложений, таких как антивирусные программы, оставляя компьютер беззащитным перед лицом атак других угроз.

Bagz.E создает на зараженном компьютере несколько файлов в директориях Windows. Этот червь также изменяет файл HOSTS, блокируя доступ на веб сайты некоторых антивирусных производителей и компаний ИТ безопасности.

Mydoom.AD также распространяется по электронной почте в различных сообщениях. Он подделывает адрес отправителя, используя список имен и доменов.

Используя собственный SMTP движок, Mydoom.AD отправляет собственную копию на все адреса, найденные в файлах со следующими расширениями: ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS и XML.

Для обеспечения одновременного запуска только одной своей копии, Mydoom.AD создает мьютекс My-Game. Также как и другие черви, описанные выше, Mydoom.AD вносит изменения в HOSTS файл для предотвращения доступа к веб сайтам антивирусных производителей.

Версия AD червя Mydoom пытается загрузить файл с веб страницы, относящейся к другому червю Scranor.A. Она сохраняет файл в корневой директории, переименовывает, а потом запускает его.

Завершим отчет червем Scranor.A, который распространяется, копируя себя, не заражая при этом другие файлы. Его цель – проникнуть и поразить компьютеры и сети.

Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/.

Дополнительная информация

SMTP (Simple Mail Transfer Protocol): Это протокол, используемый исключительно в Интернет для рассылки электронных сообщений.

Другие определения на: http://www.pandasoftware.com/virus_info/glossary/default.aspx

- О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 25 октября 2004 г.

Ключевые слова: нет

Извините, комментариев пока нет