ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
В данном отчете Panda Software рассматриваются три троянца: Trj/PGPCoder.B, Trj/Mitglieder.DQ и Trj/Bancos.GW и два червя: W32/Oscarbot.AY и W32/Codbot.AP.
✐ место для Вашей рекламы
Екатеринбург, 4 июля 2005
Bancos.GW – это троянец, крадущий пароли и запрограммированный шпионить за привычками пользователя в Интернете. Если пользователь вводит определенные ключевые слова, внесенные в код этого троянца и относящиеся к онлайновым банковским порталам, или посещает сайты определенных международных банков, троянец отображает всплывающее сообщение. В сообщении пользователя просят ввести информацию о его банковском счете, уверяя, что это сообщение – часть безопасного SSL-протокола банка. Троянец отсылает всю собранную информацию на удаленный сервер, принадлежащему автору этого вредоносного кода.
Версия B троянца PGPCoder является обновлением троянца, который 'похищал’ файлы, то есть зашифровывал их и требовал выкуп. Новая версия обладает расширенными функциями, например, возможностью зашифровывать большее количество файлов и измененный алгоритм шифрования. После зашифровки файлов он удаляет себя и посылает пострадавшему пользователю электронное письмо, требуя неопределенное количество денег для решения проблемы. Этот троянец не способен к самостоятельному распространению и должен распространяться вручную.
Последний троянец Mitglieder.DQ, направленный против определенных утилит ИТ-безопасности, например антивирусов и брандмауэров, останавливает ассоциированные с ними службы и завершает процессы. Он также удаляет записи с конфигурационными данными из реестра. Этот троянец также пытается скачать файл под названием OSA3.GIF, который, скорее всего, является еще одним вредоносным кодом, несмотря на то, что этот файл был недоступен для скачивания на момент написания этой статьи. Этот троянец принадлежит к семейству Bagle/Mitglieder. За последние месяцы появилось множество версий вредоносных кодов этого семейства, которые послужили причиной значительного количества инцидентов.
Два червя, рассматриваемые в отчете на этой неделе, являются ботами. Этот тип вредоносного ПО обладает backdoor-возможностями, то есть резидентно присутствует на компьютере пользователя и ожидает команд. Боты могут быть использованы для проведения координированных атак или рассылки спама, и “сдаются в аренду” своими создателями. Первый из них - Oscarbot.AY, червь, получающий команды через IRC-сервер, которые варьируются от скачивания и запуска кода до своего обновления или удаления. Этот червь распространяется через приложение обмена мгновенными сообщениями AOL Instant Messenger (AIM), отсылая сообщение всем контактам зараженного пользователя, содержащее ссылку на копию червя.
Codbot.AP действует похожим образом, но также проверяет компьютер на наличие самых распространенных уязвимостей и может записывать нажатые пользователем клавиши чтобы красть пароли или другие конфиденциальные данные, например, данные банковского счета, номера кредитных карт и т.д. Этот червь распространяется, эксплуатируя две самых распространенных уязвимости Windows: LSASS и RPC-DCOM, поэтому для защиты от него необходимо убедиться в обновленности системы.
Чтобы предотвратить проникновение этих или других вредоносных кодов на компьютеры, Panda Software рекомендует всем пользователям регулярно обновлять свои антивирусы. Panda Software выпустила соответствующие обновления, доступные нашим клиентам для обнаружения и лечения этих вредоносных кодов.
Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software: www.viruslab.ru
О PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 4 июля 2005 г.
Ключевые слова: нет
Извините, комментариев пока нет
|