ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Убедитесь, что Ваш компьютер чист от вирусов с помощью бесплатного онлайнового антивируса Panda ActiveScan.
✐ место для Вашей рекламы
Екатеринбург, 6 декабря 2005
В отчете на этой неделе будут рассмотрены эксплойт -BodyOnLoad-, троян -AVKiller.V-, и червь -Samony.B.
BodyOnLoad это программа, разработанная для эксплуатации уязвимости Javascript remote code execution в Internet Explorer. Ее цель – скачивание любых файлов (что представляет серьезную опасность в случае, если эти файлы являются вредоносным ПО), размещенных на определенных сайтах 'взрослого' содержания. Процесс инфекции начинается, когда пользователь посещает одну из таких страниц, которая перенаправляет его на вторую страницу, содержащую BodyOnLoad.
BodyOnLoad уже используется для скачивания и запуска трояна, обозначенного Panda Software как Downloader.DLE. Эксплуатируя эту брешь безопасности, эксплойт устанавливает файл -KVG.exe-, принадлежащий трояну, который скачивает и запускает два других файла: -all.exe и XPsys.exe-. Последние два являются компонентами Downloader.DLE. Данный троян снижает уровень безопасности браузера; действует как точка входа для прочего вредоносного ПО и устанавливает несколько файлов, принадлежащих PicsPlace, программе, непрерывно открывающей страниц ‘взрослого’ содержания.
Вторая угроза, которую мы рассмотрим сегодня - AVKiller.V, которая, подобно всем троянам, неспособна распространяться самостоятельно, и поэтому полагается на ручное распространение (по электронной почте, скачиваемые с Интернета файлы, FTP-передачи, или прочими методами). Этот троян выполняет на заражаемом компьютере следующие действия:
- Пытается скачать файл SERVER.EXE с определенного сайта. Этот файл – троян, обозначенный Panda Software как Banker.BHD.
- Удаляет записи реестра Windows, соответствующие программам безопасности для того, чтобы запретить их запуск при загрузке Windows.
- Удаляет из папки Program Files все файлы в подпапке MICROSOFT ANTISPYWARE.
- Создает два файла: STRT.EXE, свою копию; и VM2.DLL, компонент AVKiller.V, который инсталлируется на компьютер и запускается при каждом запуске Internet Explorer.
- Создает нескольких записей реестра Windows для обеспечения своего запуска при загрузке системы.
Samony.B – это червь с backdoor-характеристиками, распространяющийся по электронной почте с заголовком: "Account # 394875948JNO Wed, 28", и содержащий файл "MAIN_23_C.EXE".
После своей установки на компьютер Samony.B выполняет ряд действий:
- Ждет получения удаленных команд управления через порт 321 (скачивание, запуск, копирование и удаление файлов, выдача списка директорий и т.д.), что позволяет производить удаленное администрирование компьютера.
- Осуществляет сбор хранимых на компьютере паролей, например в защищенном хранилище, где хранятся пароли Outlook, Internet Explorer и т.д.
- Записывает нажатия клавиш.
- Скачивает определенную веб-страницу, содержащую определенный цифровой код. Если этот код равен или больше 0013, Samony.B попытается обновить себя, скачивая с веб-страницы файл DOWNLOAD.EXE.
- Отправляет свою копию на все контакты адресной книги Windows, и все адреса, которые он находит в файлах с расширением HTML.
О PandaLabs
С 1990 года миссией PandaLabs был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, PandaLabs в настоящий момент является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли (более подробная информация на www.viruslab.ru).
Опубликовано: 6 декабря 2005 г.
Ключевые слова: нет
Извините, комментариев пока нет
|