ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
На этой неделе в традиционном отчете PandaLabs (www.viruslab.ru) мы рассмотрим опасного трояна Conycspa.AJ, который загружает на компьютеры девять вредоносных кодов. Также мы уделим внимание трояну Briz.X, заразившему больше 14,000 пользователей, и червям MSNPhoto.A и Ridnu.D.
✐ место для Вашей рекламы
Екатеринбург, 28 мая 2007г.
Троян Conycspa.AJ предназначен для демонстрации рекламы. С этой целью он изменяет несколько записей реестра Windows и модифицирует результаты онлайновых поисков, совершаемых пользователем. За счет этого троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине.
Также данный вредоносный код подключается к определенному веб-адресу, с которого загружает различные файлы. Среди них mm4839.exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах.
Кроме того, этот троян загружает из интернета большое количество зараженных файлов, содержащих следующее вредоносное ПО: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus2006 и PsKill.J, троянов Stox.A и Cimuz.EI, а также cookie DriveCleaner и MediaPlex.
“Целью вредоносных атак кибер-преступников является получение прибыли. При каждом заражении им удается установить вредоносные коды на компьютерах пользователей, благодаря чему увеличивается вероятность получения прибыли от кражи конфиденциальных данных, посещения веб-страниц, на которых продаются определенные продукты, рассылки спама, компьютерных атак и др.”, объясняет Луис Корронс технический директор PandaLabs
Conycspa.AJ также вносит изменения в реестр Windows, одно из которых обеспечивает трояну запуск при каждой загрузке компьютера. Более того, он создает BHO (объект поддержки браузера - Browser Helper Object), позволяющий ему вести учет интернет-активности пользователя.
Он также модифицирует настройки брандмауэра с целью открытия случайного порта и также автоматического запуска файла win.ini при начале сессии.
Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Таким образом троян защищает созданные им изменения и предотвращает их удаление операционной системой.
Briz.X также сыграл важную роль. PandaLabs обнаружила сервер, который служит хранилищем конфиденциальной информации, украденной трояном. Этот вариант заразил более 14,000 пользователей, и продолжает инфицировать в среднем 500 новых компьютеров в сутки.
Briz.X снабжен модулем синтаксического анализатора, который позволяет кибер-преступникам обрабатывать всю украденную информацию, производить поиск по определенным словам или IP-адресам, а также создавать фильтры для более быстрого поиска необходимых данных.
MSNPhoto.A – это червь, распространяющийся через MSN Messenger. Этот вредоносный код попадает в компьютер в виде иконки или изображения, на самом деле скрывающего исполняемый .exe-файл.
При запуске MSNPhoto.A закрывает все открытые пользователем окна MSN Messenger и рассылает по всем контактам сообщение с предложением открыть файл под названием fotos_posse.zip, который на самом деле является копией червя.
Этот червь также блокирует открытие диспетчера задач, за счет чего предотвращает закрытие MSN Messenger самим пользователем. Также он старается загрузить из интернета несколько файлов. Кроме того, он редактирует реестр Windows, чтобы обеспечить себе загрузку при каждом запуске системы.
“Службы мгновенных сообщений, такие как MSN Messenger, Yahoo!Messenger, AIM, и др., активно используются как домашними пользователями, так и бизнесом. Поэтому сам факт их широкого распространения делает их великолепным средством для распространения вредоносного ПО, которое использует такие службы для того, чтобы проникнуть в как можно большее количество компьютеров,” объясняет Корронс.
Вторым червем в нашем отчете стал Ridnu.D. Этот вредоносный код, как и все остальные варианты семейства Ridnu, занимается демонстрацией надоедливых сообщений. Он, например, заменяет “пуск” на “Mr_CoolFace Has Come!”. Также он изменяет название “Мои документы” на “Mr_CoolFace”, а при каждом открытии Блокнота пользователь видит надпись “Dear my princess”.
Одним из вредоносных действий Ridnu.D является создание нескольких записей в реестре Windows с целью изменения аспекта панели задач Windows Explorer и обеспечения своего запуска при каждой загрузке компьютера.
Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться бесплатными онлайновыми решениями TotalScan или NanoScan beta, которые можно найти по адресу www.infectedornot.com
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru).
Опубликовано: 28 мая 2007 г.
Ключевые слова: нет
Извините, комментариев пока нет
|