ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
Екатеринбург, 17.02.2003 – Сегодня в нашем очередном отчете мы рассмотрим троянец Egrof, версию 'C' червя Kazoa, а также приложение NTRootkit, используемое хакерами для скрытия следов своей деятельности на атакуемых компьютерах.
✐ место для Вашей рекламы Троян Egrof сохраняет в файл FLOG.TXT имя пользователя и пароль, вводимые пользователем зараженного компьютера, для доступа к системе сообщений America On Line (AOL). Впоследствии это позволяет злоумышленникам использовать учетную запись данного компьютера для пользования услугами America On Line (AOL).
Присутствие Egrof на компьютере обнаружить достаточно просто, так как он имитирует установку соединения со службой America On Line (AOL) и возвращает сообщение об ошибке.
Червь Kazoa.C способен действовать как троян. Он распространяется очень быстрыми темпами посредством KaZaA и IRC. Этот червь считается опасным, так как он открывает коммуникационный порт (обычно 31337) на зараженном компьютере, а затем отправляет IP адрес и количество открытых портов злоумышленникам, делая компьютер пользователя практически беззащитным перед удаленными атаками.
Kazoa.C создает большое количество зараженных файлов, имена которых подбираются таким образом, чтобы заставить пользователей думать, что эти файлы – это эротические фотографии знаменитостей или какие-либо полезные программы. Это делается для обмана пользователей KaZaA, которые начинают загружать инфицированные файлы. Также червь создает множество своих копий на жестком диске, тем самым занимая достаточно много свободного дискового пространства. И, наконец, Kazoa.C прерывает активные процессы, связанные с работой антивируса, а также иных систем информационной безопасности, и вносит записи о себе в Системный Реестр Windows. Завершить данный отчет мы хотим описанием утилиты NTRootkit, работающей только на компьютерах с операционными системами Windows NT, 2000 или XP. После получения удаленного доступа к компьютеру, хакер устанавливает на нем данную программу, в результате чего в системной папке Windows создаются файлы DEPLOY.EXE и NTROOT.SYS.
Существует несколько версий NTRootkit, различающихся по действию на зараженном компьютере. Ниже приведены основные возможности описываемой программы:
- программа скрывает все файлы, процессы или записи в Реестре Windows, начинающиеся с выражения _root_.
- программа перехватывает информацию, вводимую на поражаемом компьютере с клавиатуры, что позволяет хакеру получать такие данные, как имя пользователя и пароль для доступа к определенным службам. Из-за ошибки, иногда возникающей при попытке перехвата вводимой информации на компьютерах с Windows NT, пользователи данных компьютеров могут столкнуться со всем известным голубым экраном Windows.
Дополнительную информацию об описанных вирусах можно найти в Вирусной энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
О Вирусной лаборатории Panda Software
Получив подозрительный файл, технический персонал Panda Software немедленно приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые затем быстро распространяются среди пользователей.
Опубликовано: 17 февраля 2003 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
