Недельный отчет о вирусах

Екатеринбург, 15.09.2003 - Наиболее интересными червями прошлой недели следует признать: Mimail.B, Gaobot.L, версии 'A' и 'B' червя Neroma, Gelcan.A и Vote.K. Также заслуживает внимания компьютерная мистификация Evocash.

Mimail.B – это червь, обладающий признаками троянца. Он распространяется по электронной почте в сообщении с темой 'Fraudulent escrow service' и вложенным файлом 'INFO.ZIP'. Благодаря имеющимся характеристикам троянца Mimail.B способен перехватывать данные, вводимые пользователем с клавиатуры.

Для заражения как можно большего числа компьютеров Mimail.B использует бреши Internet zone (в Internet Explorer) и MHTML (в Outlook Express). Именно они позволяют хакеру выполнять программный код на заражаемом компьютере.

Gaobot.L – это червь, предоставляющий возможность получения удаленного доступа и заражающий только компьютеры с Windows XP/2000/NT. Червь использует бреши RPC DCOM и WebDAV с целью заразить как можно большее число компьютеров. Gaobot.L также способен распространяться через общие сетевые ресурсы. Для получения доступа к ним червь использует типичные или простые пароли. После активации Gaobot.L соединяется с определенныем сервером IRC через порт 9900 и ожидает дальнейших команд.

Являясь программой, предоставляющей возможность получения удаленного доступа, Gaobot.L может позволить атакующему получить информацию о поражаемом компьютере, запускать файлы, инициировать отказы от обслуживания, отправлять файлы через FTP и т.д. Кроме того, он завершает процессы, принадлежащие Nachi.A, Autorooter.A, Sobig.F и некоторым версиям червя Blaster.

Neroma.A и Neroma.B – два червя, распросттраняющиеся по электронной почте. Они рассылают себя по всем адресам, обнаруженным в Адресной книге Outlook на зараженном компьютере. Электронное сообщение составлено на английском языке и связано с событиями 11 сентября 2001 годя в Нью-Йорке. Кроме того, оба червя изменяют записи Системного Реестра Windows на компьютерах с Windows XP/2000/NT.

Пятым червем, рассматриваемым в сегодняшнем отчете, является Gelcan.A, распространяющийся путем копирования себя на дискеты. После активации Gelcan.A остается резидентным в памяти компьютера и время от времени пытается получить доступ к дисководу с целью скопировать себя туда.

Vote.K – это червь, заражающий только компьютеры с Windows 9.x/ME и Windows NT/2000/XP. Он отправляет свои копии по всем адресам из Адресной книги Outlook по электронной почте и кналам IRC. Кроме того, Vote.K перезаписывает все файлы со следующими расширениями: exe, com and scr, bmp, jpg, rar, zip, wav, и txt.

Сегодняшний отчет мы завершим описанием компьютерной мистификации Evocash. Это не вирус, а электронное сообщение, созданное для обмана пользователей. Оно информирует пользователей о том, что якобы содержит разрушительного червя, отправленного Evocash. На самом деле эта компания не имеет никакого отношения к рассылаемым сообщениям, а сами сообщения никакого червя не содержат.

Мистификация Evocash пытается спровоцировать ложную тревогу среди пользователей. Для избежания проблем удалите это сообщение и не пересылайте его никому.

Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/

О Вирусной лаборатории Panda Software

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 15 сентября 2003 г.

Ключевые слова: нет

Извините, комментариев пока нет