ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Сегодня в традиционном отчете PandaLabs (www.viruslab.ru) мы рассмотрим опасную комбинированную атаку, совершенную Spamta.VK и Spamtaload.DT, а также трояна Ldpinch.AAI и червя Grum.A. Кроме того, обратимся к описанию нового патча безопасности от Microsoft.
✐ место для Вашей рекламы
Екатеринбург, 9 апреля 2007г.
Одним из событий, вызвавших наибольшее беспокойство PandaLabs на этой неделе, стала комбинированная атака, совершенная Spamta.VK и Spamtaload.DT. Spamta.VK – это червь, который подключается к определенным серверам и рассылает огромное количество электронных сообщений. Такие сообщения содержат файл, обычно это исполняемый файл, со скрытой копией Spamtaload.DT. После заражения компьютера троян загружает на него копию Spamta.VK, таким образом, повторяя весь цикл инфицирования заново.
“Комбинированные атаки обеспечивают широкое распространение вредоносных кодов. В данном случае червь используется для распространения трояна. На долю этой атаки приходится до 80% заражений, информация о которых поступает в PandaLabs ежечасно”, объясняет Луис Корронс, технический директор PandaLabs.
Каждый раз при запуске, Spamtaload.DT демонстрирует сообщение об ошибке, а прячется сам червь в файле с привычным текстовым значком. Spamta.VK загружает из интернета несколько вредоносных файлов, а затем подключается к нескольким серверам для рассылки электронных сообщений.
Ldpinch.AAI – это троян, предназначенный для кражи паролей к нескольким видам программ: email-клиентам, браузерам, FTP-клиентам и др. Именно с этой целью он считывает конфигурационные файлы и записи реестров вышеперечисленных программ.
Ldpinch.AAI также ведет сбор данных во время подключений к интернету, инициируемых с зараженного компьютера, и отслеживает все активные процессы. Всю эту информацию он затем пересылает своему создателю через веб-форму.
Для этого троян вмешивается в работу некоторых брандмауэров.
Червь Grum.A прячется в электронных сообщениях, предлагающих протестировать фальшивую бета-версию Internet Explorer 7. В теле зараженного письма находится большая картинка, щелкнув по которой пользователь якобы может загрузить бета-версию. Однако, переходя по ссылке, он фактически сам скачивает червя себе на компьютер.
Сразу же после запуска, вредоносный файл самоуничтожается. Grum.A поражает исполняемые файлы (.exe), а затем создает копии этих файлов под теми же именами, но с расширением “.rgn”, чтобы затруднить их удаление из системы.
Grum.A способен скрывать свои процессы с помощью руткитовых технологий, поэтому некоторым антивредоносным решениям достаточно сложно его обнаружить. Также для того, чтобы скрыть своё присутствие, червь перехватывает несколько системных DLL и копирует себя в другие (system.dll, ntdll.dll, kernel32.dll и т.д.).
Grum.A открывает лазейку (backdoor) на зараженных компьютерах. В результате хакер может получить доступ к компьютеру и удаленно управлять им. Затем червь подключается к определенному веб-сайту и обновляется.
На этой неделе Microsoft опубликовала патч безопасности для исправления уязвимости в файлах анимации курсора (.ANI). Данная брешь присутствует в Windows Vista, XP и Server 2003.
Эта уязвимость используется с помощью специально-написанной веб-страницы. Злоумышленникам требуется убедить пользователя заглянуть на страничку, использующую системную брешь безопасности. Если это удается – хакеры смогут удаленно контролировать зараженный компьютер с такими же привилегиями, как и сам залогиненный пользователь. Особую опасность это представляет в случае, если пользователь обладает правами администратора. В таком случае хакер получит полный контроль над зараженным компьютером.
Скачать вышеописанный патч, а также получить более подробную информацию об уязвимости можно по следующему адресу: http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx
Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться Panda ActiveScan, бесплатным онлайновым решением, которое можно найти по адресу: http://www.viruslab.ru/service/check/ Он позволяет пользователям тщательно просканировать свои компьютеры.
Вы также можете воспользоваться бета-версией NanoScan (www.nanoscan.com), онлайнового сканера, который выявляет все активное вредоносное ПО на компьютере менее чем за 60 секунд.
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru).
Опубликовано: 9 апреля 2007 г.
Ключевые слова: нет
Извините, комментариев пока нет
|