Недельный отчет о вирусах

Екатеринбург, 06.10.2003 - В сегдняшнем отчете о вредоносных кодах прошедшей недели мы рассмотрим троянцев Hatoy.A, Petala.A и шесть версий Istbar, а также трех червей - Dozer.A, Simbag.A и Holar.I.

Hatoy.A попадает на компьютеры при просмотре пользователем вредоносной веб страницы. Для этого он использует брешь 'Object type' в Microsoft Internet Explorer, позволяющую запускать файлы с определенных веб страниц в локальной зоне. После активации троянца при попытке пользователя воспользоваться определенными поисковыми системами Hatoy.A перенаправляет их на IP адреса, которые могут содержать различные страницы.

Petala.A - это троянец, предоставляющий возможность получения удаленного доступа и распространяющийся через сети и по каналам IRC. Этот вредоносный код может позволить злоумышленникам получить удаленный доступ к компьютеру, а также возможность использования команд IRC, позволяющих копировать файлы, прерывать процессы и т.д. Таким образом, ставится под угрозу конфиденциальная информация, а также нарушается нормальная работа компьютера.

Версии B, C, D, E, F и G троянца Istbar устанавливают программы-шпионы и дозвонщики на поражаемые компьютеры без ведома пользователей. Кроме того, они отображают различные сообщения, содержащие рекламу порнографических веб сайтов, и добавляют панель инструментов в браузер Internet Explorer.

Червь Dozer.A рассылает себя по всем адресам из контактного листа MSN Messenger зараженного компьютера. С целью обмана пользователей червь рассылает себя в письме, которое якобы содержит пакет обновления MSN Messenger, отправленный Microsoft. Однако, при запуске данного файла на экран выводится ложное сообщение об ошибке, что запутывает пользователя. Dozer.A создает различные ключи в Реестре Windows, а также перехватывает и завершает процессы антивирусов и межсетевых экранов.

Simbag.A также распространяется через MSN Messenger, рассылая свои копии по всем обнаруженным адресам. Кроме того, он создает ссылки на различные эротические веб сайты и добавляет следующие файлы в папку Windows: SMB.EXE, ADMAGIC.EXE, TEST.TXT, SM.DLL, RAW32X.DLL и UZ.EXE. Наконец, Holar.I распространяется по электронной почте и через программу обмена файлами KaZaA. Он изменяет адрес домашней страницы в Internet Explorer, а после тридцатого запуска он отключат мышь и клавиатуру.

Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу:

Дополнительная информация

Вредоносная программа, предоставляющая удаленный доступ: Это приложение, обеспечивающее получение доступа к компьютеру. Может использоваться для захвата частичного или полного контроля над системой.

Дозвонщик: Это программа, используемая для умышленного перенаправления соединений с сетью Интернет. В процессе деятельности она разрывает установленное пользователем соединение и соединяется с платным телефонным номером.

Программа - шпион: Это программа, автоматически устанавливаемая с какой-либо другой (без ведома и разрешения пользователя), и похищающая личные данные (параметры доступа к Интернету, действия, выполненные при работе в Сети, посещенные веб страницы, установленные программы и т.п.).

Подробный список антивирусных терминов Вы найдете на веб сайте по адресу:

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 6 октября 2003 г.

Ключевые слова: нет

Извините, комментариев пока нет