РЕГИСТРАЦИЯ  |  НОВОСТИ  |  ОБРАТНАЯ СВЯЗЬКАК ПИСАТЬ ПРЕСС РЕЛИЗ?  |  ПРИМЕР ПРЕСС-РЕЛИЗА
“...Скромность - самый верный путь к забвению!”
     
Добавить пресс-релиз

Недельный отчет о вирусах

Panda Software Russia
      24-01-2005
 

На этой неделе в отчете рассматриваются три червя: Bropia.A, Zar.A , Mydoom.AE и файл Gaobot.batch.

✐  место для Вашей рекламы

Екатеринбург, 24 января 2005 года

Bropia.A распространяется через MSN Messenger. Он осуществляет это, включая поиск класса приложения 'IMWindowClass', и если находит его, рассылает себя с одним из следующих имен: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif и love_me.pif.

После запуска Bropia.A ищет в %systemdir% файлы со следующими именами: adaware.exe, VB6.EXE, lexplore.exe и Win32.exe. Если их не существует, он создает файл, содержащий копию версии Gaobot. Bropia.A генерирует несколько пустых файлов в пути %systemdir% и открывает их для предотвращения запуска процессов taskmgr.exe и cmd.exe. Также Bropia.A отключает комбинацию клавиш CTRL+ALT+Del и может отключать использование правой кнопки мыши.

Zar.A распространяется по электронной почте в сообщении на тему цунами, произошедшего в Азии в декабре 2004. Заголовок и текст сообщения апеллируют к помощи жертвам, а вложение называется TSUNAMI.EXE. После запуска файла компьютер заражается Zar.A, который, используя MAPI, посылает свои копии по всем адресам в адресной книге Outlook.

Zar.A создает три файла и генерирует запись в реестре Windows для обеспечения своего запуска при каждой загрузке компьютера. Червь также пытается произвести DoS-атаки (Denial of Service) против веб-сайта www.hacksector.de.

Следующий червь, рассматриваемый сегодня - Mydoom.AE, который распространяется в письмах с изменяющимися характеристиками, а также через сети файлового обмена P2P.

После заражения компьютера Mydoom.AE выполняет следующие действия:

- Открывает Блокнот и отображает текст, состоящий из произвольных символов.

- Изменяет HOSTS-файл для предотвращения доступа пользователей к веб-страницам определенных антивирусных компаний. Он также завершает процессы, принадлежащие определенным антивирусным программам, оставляя компьютер уязвимым к атакам со стороны прочих вредоносных программ.

- Завершает процессы, принадлежащие вредоносным программам.

- Пытается скачать файл из Интернет.

Мы заканчивает сегодняшний отчет упоминанием Gaobot.batch, который является пакетным файлом, удаляющим оригинальный файл Gaobot после его инсталляции на компьютер.

Для большей информации по этим и прочим компьютерным угрозам, посетите Вирусную Энциклопедию Panda Software: http://www.viruslab.ru

Дополнительная информация

- Пакетные / BAT файлы: Файлы с расширением BAT, позволяющие автоматизацию операций.

- MAPI (Messaging Application Program Interface): Система, используемая для предоставления программам возможности посылать и получать email через определенную систему сообщений.

Более подробная информация: http://www.pandasoftware.com/virus_info/glossary/default.aspx

About PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 24 января 2005 г.

Ключевые слова: нет

 


 

Извините, комментариев пока нет