ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
В данном отчете будут рассмотрены четыре червя: Maslam.A, Maslam.B, Atak.D и Atak.E.
✐ место для Вашей рекламы Екатеринбург, 14 декабря, 2004
Maslam.A и Maslam.B заражают компьютеры под управлением Windows 95/98/ME/NT/2000/XP, используя брешь LSASS. Они рассылаются по электронной почте, используя собственный SMTP механизм. Оба червя обладают следующими характеристиками:
- Они ведут наблюдение за открытыми окнами Internet Explorer, ища наличие следующих строк: evocash, e-bullion, e-gold, mail, bank, trade или paypal. При нахождении строки, они записывают всю информацию, вводимую пользователем и отправляемую на веб-сайт.
- Они ищут файлы с расширениями rar, zip, pif или exe, в путях которых присутствует следующий текст: distr, download, setup или share, и затем заменяют эти файлы своими копиями.
- При своем запуске они выводят на экран сообщение об ошибке.
Главная разница между версиями A и B вируса Maslam - это имя файла, прикрепленного к сообщению, в котором распространяется вирус, а также текст в заголовке сообщения.
Другие два червя, рассматриваемые в сегодняшнем отчете, - это варианты D и E червя Atak, который распространяется по электронной почте в сообщении с варьирующимися характеристиками. Эти сообщения содержат прикрепленный файл с расширением bat, com, exe, pif или scr. Иногда файл запакован в виде zip-архива. Оба червя также подменяют адрес отправителя, чтобы ввести получателя в заблуждение.
Atak.D и Atak.E обладают следующими характеристиками:
- Используют собственный SMTP механизм для рассылки своих копий по адресам, полученным на зараженном компьютере.
- Создают копию червя в системной директории Windows - в случае с Atak.D это файл A1G.EXE, а с Atak.E - DAPDLL.EXE.
- Редактируют системный реестр с целью обеспечения своего запуска при каждом входе в систему.
Основные отличия Atak.D и Atak.E:
- Размер Atak.D, упакованного в формате FSG, равен 12037 байт, в то время как размер варианта E равен 11189 байт.
- Мьютекс, создаваемый ими для обеспечения одновременной работы лишь одной копии червя, различен для каждого варианта.
Для информации об этих и прочих компьютерных угрозах, посетите Вирусную Энциклопедию Panda Software по адресу: http://www.viruslab.ru
О PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 14 декабря 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
