Недельный отчет о вирусах

Екатеринбург, 28.04.2003 - В отчете, посвященным событиям прошлой недели, мы рассмотрим четырех червей, включая Coronex, который в качестве «приманки» для пользователей использует случаи заражения атипичной пневмонией, а также троянца Alor.

Coronex очень быстро распространяется по электронной почте и посредством приложений обмена файлами P2P (peer-to-peer) в сообщении, содержащем информацию о появлении опасного для здоровья вируса. Coronex попадает на компьютеры в файлах "CORONA.EXE", "CV.EXE", "DEATHS.EXE", "HONGKONG.EXE", "SARS.EXE", "SARS2.EXE" и "VIRUS.EXE", а также иных, связанных с данной болезнью, и вирусом, вызывающим ее. Текст и в теме сообщения, и в теле письма связан с пневмонией.

При запуске зараженного файла Coronex отправляет свою копию по всем адресам из адресной книги зараженного компьютера, вставляя при этом в сообщения файлы, связанные с какой-либо известной компьютерной игрой, например, Command & Conquer, Doom, The Lord Of The Rings, The Sims, Unreal и т.д. Таким образом червь пытается заставить пользователей поверить, что они получили игру, загрузить ее и, тем самым, способствовать дальнейшему распространению червя.

Вторым червем является Opex, распространяющийся посредством программ обмена файлами P2P KaZaA, eDonkey и Morpheus. Для этого он создает большое количество своих копий в общих папках, используемых по умолчанию, а также в случайной папке из «Моих документов». Имена создаваемых файлов связаны с компьютерными программами, играми, хранителями экрана и т.п. Это приводит к тому, что пользователи загружают копии вируса на свои компьютеры, считая при этом, что они загрузили обычные программы.

Третий червь – Tavo - попадает на компьютеры в электронном письме с темой "Saludos" и вложенным файлом "IESRACK.VBS". Также он способен распространяться через дискеты. После заражения компьютера Tavo рассылает себя по всем адресам из адресной книги Outlook.

По одиннадцатым числам каждого месяца Tavo выводит на экран некое сообщение, первого декабря он удаляет все файлы из папки «Мои документы». А по девятым числам червь вставляет сообщение "Danger!... I'm New FeLiNo GZ.LyoN" в открытые текстовые файлы. Более того, каждые восемь минут Tavo проверяет, нет ли дискеты в дисководе и не защищена ли она от записи. При обнаружении таковой червь копирует себя на нее и тем самым заражает дискету.

Последним червем сегодняшнего отчета является Morb, быстро распространяющийся по электронной почте, каналам IRC и KaZaA. При заражении компьютера он отвечает на все сообщения папки «Входящие», вставляя в сообщения зараженный файл. Кроме того, Morb заносит на компьютер троянец, открывающий 81 порт и отправляющий сообщения всем пользователям IRC, подключенным к тому же каналу, что и пользователь зараженного компьютера. Троянец Alor позволяет хакеру получать удаленный доступ к пораженному компьютеру с помощью TCP/IP соединения через порт 12345. Хакер, получивший доступ к компьютеру жертвы, может установить пароль на выполнение определенных действий, включая доступ к конфиденциальной информации, хранящейся на компьютере, открытие и закрытие приемного лотка CD-ROM или DVD, а также включение и отключение Планировщика Windows.

Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/

О Вирусной лаборатории Panda Software

Получив подозрительный файл, технический персонал Panda Software немедленно приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 28 апреля 2003 г.

Ключевые слова: нет

Извините, комментариев пока нет