ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
Екатеринбург, 21.04.2003 - В отчете, посвященным событиям прошедшей недели, мы рассмотрим двух червей - VBS/Lisa и Refoav, а также троянца Dialer.AF.
✐ место для Вашей рекламы VBS/Lisa распространяется посредством каналов IRC, общих сетевых дисков и программы KaZaA. В случае с электронной почтой червь распространяется в сообщении с темой "Click YES and vote against war!". Кроме того, данный червь создает более 5000 папок в корневом каталоге жесткого диска и копии текстового файла, содержащего строку "I will never stop loving you" в каждой папке.
VBS/Lisa записывыет несколько команд в файл Autoexec.bat для форматирования диска C:\ и перезагружает компьютер. Также этот червь уничтожает файл "Regedit.exe" и, если после заражения прошло от трех дней и более, VBS/Lisa удаляет следующие файлы: "user.dat", "user.bak", "system.dat", "system.bak" и "win.com". Наконец, VBS/Lisa отключает все ярлыки, находящиеся на рабочем столе, и, для усложнения работы антивирусной программы, вставляет специальные символы в их коды.
Вторым червем нашего отчета является Refoav, опознать которого достаточно просто, так как он всегда попадает на компьютеры в сообщении со следующим вложенным файлом:"FOAVRE.EXE". После заражения компьютера червь выводит на экран ряд сообщений. Затем он отправляет свои копии по всем адресам из Адресной книги Outlook, а также по адресам, найденным на зараженном компьютере. После этого червь удаляет себя из зараженной системы.
Refoav создает запись в системном реестре Windows для автоматического запуска при каждой загрузке системы. Кроме того, он создает в корневом каталоге диска зараженного компьютера следующие файлы: "VBSELI.VBS", "FOAVRE.EXE" и "DATOSPC.DAT". Dialer.AF – это троянец-дозвонщик, создающий на зараженном компьютере файл "EROS.EXE", а также вносящий некоторые записи в системный реестр Windows. Dialer.AF выполняет следующие действия:
- после установки на компьютер он вывод значок на Панели задач, около системных часов. При нажатии на нем правой кнопкой мыши появляется опция «Uninstall...». При выборе пользователем данной опции создается впечатление, что программа удалена, но на самом деле ни записи из Реестра, ни файлы не удаляются. Поэтому, при перезагрузке компьютера, Dialer.AF остается резидентным на зараженном компьютере и оставляет порт открытым.
- без ведома пользователя устанавливает соединения с платными телефонными номерами через сеть Интернет, со всеми вытекающими отсюда печальными финансовыми последствиями.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
О Вирусной лаборатории Panda Software
Получив подозрительный файл, технический персонал Panda Software немедленно приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 21 апреля 2003 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
