ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Екатеринбург, 23 ноября 2004 года.
✐ место для Вашей рекламы
В отчете, посвященном событиям прошедшей недели, мы рассмотрим пять червей: Sober.I, Bagle.BG, Yanz.A, Drew.A и Aler.A, а также троянца Msnsoug.A.
Sober.I рассылается по электронной почте, используя свой собственный SMTP механизм, в сообщении на немецком или английском языке, в зависимости от получателя. Червь собирает электронные адреса на зараженном компьютере и хранит их в файлах. Для обеспечения своего запуска при каждом включении компьютера он создает некоторые записи в реестре Windows.
Bagle.BG рассылает себя в сообщениях с изменяющимися характеристиками. Среди выполняемых им действий открытие и прослушивание порта TCP 2002. Он создает лазейку, открывая доступ к пораженному компьютеру. Bagle.BG также прерывает процессы некоторых приложений, обновляющих антивирусные продукты, оставляя компьютер уязвимым перед атаками.
Yanz.A – это почтовый червь, распространяющийся в сообщениях с сильно изменяющимися характеристиками и отображающий поддельные адреса отправителей. Кроме того, он может использовать программы обмена файлами P2P для распространения путем создания файлов с различными именами, содержащих его копии, в папках, названия которых содержат символы ‘shar’. Как сообщения, так и создаваемые им файлы тематически связаны с китайским певцом Sun Yan Zi.
После запуска файла, содержащего червя, Yanz.A отображает небольшое окно с текстом “Kernel Hatasi”. Кроме того, он открывает и просматривает порт TCP 67. Через данный порт он пытается загрузить все небольшие вредоносные программы, которые Yanz.A тут же запустит.
Drew.A распространяется как через электронную почту, так и через программы обмена файлами. В первом случае он использует свой собственный SMTP механизм для отправки сообщений с сильно изменяющимися параметрами. Текст и тема сообщения выбираются произвольным образом из имеющегося списка. Для распространения через программы P2P Drew.A ищет все папки, названия которых сдержат символы ‘share’, и копирует себя в них, используя привлекающие внимание имена, такие как "Cameron Dias.scr", "Delphi 8 keygen.com" и "DrWeb 4.32 Key.com".
Если пользователь запускает одно из вложений, содержащих Drew.A, то червь создает два файла со своими копиями. Кроме того, он рассылает себя по всем контактам, найденным в адресной книге, и удаляет все файлы с расширениями HTM и TXT, обнаруженные им на компьютере.
Последним червем, рассматриваемым нами сегодня, является Aler.A, который, несмотря на то, что впервые он был обнаружен несколько дней назад, был массово распространен в электронных сообщениях. Тема сообщения следующая: “Latest News about Arafat !!!”. Кроме того, в него вложены два файла. Один из них представляет собой изображение палестинского политика. Второй содержит код, предназначенный для использования бреши в Internet Explorer. Таким образом, червь Aler.A устанавливается на компьютер и распространяется через недостаточно хорошо защищенные сети.
Завершим наш отчет описанием Msnsoug.A, троянца, не распространяющегося при помощи своих собственных средств. После заражения компьютера он ожидает начала сеанса MSN Messenger и отправляет всем из списка контактов, находящимся в сети, текстовое сообщение на португальском языке.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 23 ноября 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|