ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
В отчете на этой неделе будут рассмотрены два червя Mydoom.BH и Crowt.B и троянец Downloader.BHV.
✐ место для Вашей рекламы Екатеринбург, 28 марта 2005
Mydoom.BH – это почтовый червь, который также может распространяться через сети обмена файлами P2P KaZaA. После проникновения на компьютер и своего запуска он скачивает страницу с веб-сайта с кодом, который сохраняется в системную директорию Windows в виде исполняемого файла с названием TEMP1.EXE. Он также отображает экран, относящийся к антивирусу, чтобы отвлечь внимание пользователя.
Для распространения по электронной почте он отсылает себя на все контакты в адресной книге Outlook, используя собственный SMTP механизм. Имя, которое выводится как отправитель электронного письма, фальсифицировано, и сообщение содержит вложенный файл с вредоносным кодом.
Кроме использования электронной почты Mydoom.BH также создает свою копию в директории общего пользования KaZaA, расположение которой он получает из реестра Windows. Эта копия имеет произвольное имя и расширение, выбранное из списка наименований, спроектированных для привлечения внимания пользователей KaZaA.
Другие пользователи этой программы могут получать удаленный доступ к директории общего пользования, и добровольно скачивать на свой компьютер файлы, созданные Mydoom.BH, думая, что они являются интересными программами и т.д. В действительности они скачивают копию червя. Когда они запускают скачанный файл, их компьютеры заражаются Mydoom.BH.
Второй червь в отчете – Crowt.B – обладает backdoor-способностями и рассылает себя по электронной почте, используя собственный SMTP-механизм. Он получает адреса, на которые рассылает себя из списка контактов, хранимого на компьютере пользователя.
Он позволяет выполнение удаленных команд на зараженном компьютере и кражу информации с него. Червь также несет в себе дополнительную угрозу, так как работает и как кейлоггер, записывая нажатия клавиш и похищая вводимые пароли. Для того чтобы скрыть свое присутствие Crowt.B вставляет свой код в другие программы.
И наконец мы рассмотрим троянца Downloader.BHV. Этот вредоносный код скачивает и устанавливает рекламные программы на зараженный компьютер.
Downloader.BHV требует вмешательства атакующего для распространения и не может распространяться самостоятельно. Им используются различные каналы распространения, включая дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы, скачанное из FTP, пиринговые системы обмена файлами (P2P) и т.д.
При своем запуске он скачивает с нескольких веб-сайтов 5 исполняемых файлов, замаскированных под GIF-файлы, которые он запускает на зараженной системе. Чтобы избежать обнаружения, он использует несколько простейших методов (во время работы кода создаются определенные текстовые строки).
Для более подробной информации об этих и прочих компьютерных угрозах посетите Вирусную Энциклопедию Panda Software: http://www.viruslab.ru
О PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 28 марта 2005 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
