Недельный отчет о вирусах

Екатеринбург, 13.10.2003 - В отчете о событиях прошедшей недели мы рассмотрим трех троянцев - IRCBot.D, Ruledor.A и Pup.A, червя Gaobot.S и две новых версии Gibe.C.

IRCBot.D рассылает себя по электронной почте в сообщении с темой 'Last Update' и вложенным файлом 'NAV32.EXE', пытаясь обмануть пользователей и заставить их поверить в то, что данное сообщение отправлено антивирусной компанией. При запуске вложенного файла IRCBot.D остается резидентным в памяти и соединяется с каналом IRC. Из него вредоносный код получает команды для выполнения - перенаправление портов, загрузка и запуск файлов, сканирование портов, инициирование отказов от обслуживания (DoS) и рассылка самого себя по другим каналам IRC.

Вторым троянцем нашего отчета является Ruledor.A, который устанавливает различные версии троянца Istbar, добавляет панель инструментов в Internet Explorer, выводит на экран всплывающее окно с рекламной информацией и, из-за ошибки в коде, иногда завершает процессы Internet Explorer. Когда пользователь вводит адрес в Internet Explorer, Ruledor.A проверяет, есть ли схожие адреса среди его рекламы и, если это так, то он перенаправляет пользователя на соответствующий веб сайт.

Третий троянец, Pup.A остается резидентным в памяти и открывает различные рекламные веб страницы в окне Internet Explorer. Когда пользователь пытается закрыть их, окно Internet Explorer минимизируется, загружая веб страницу, содержащую процедуру PHP. Данная процедура без ведома пользователя соединяется с определенными веб адресами и отправляет информацию о создателе троянца, который получает деньги за количество посещений. Первым рассматриваемым нами сегодня червем является Gaobot.S, который имеет признаки программы, предоставляющей несанкционированный удаленный доступ к системе, и заражает компьютеры, работающие под управлением ОС Windows XP/2000/NT. Для распространения на как можно большее число компьютеров червь использует бреши RPC DCOM и WebDAV. Кроме того, он распространяется путем копирования себя на общие сетевые ресурсы, доступ к которым червь пытается получить благодаря использованию типичных паролей. После активации Gaobot.S соединяется с определенным IRC сервером через 6667 порт и ожидает дальнейших команд.

Gaobot.S завершает процессы антивирусных программ, межсетевых экранов и средств мониторинга системы, оставляя пораженный компьютер уязвимым перед атаками других вирусов и червей. Кроме того, он завершает процессы Nachi.A, Autorooter.A, Sobig.F и некоторых версий червя Blaster. Благодаря своим возможностям Gaobot.S способен также получать информацию о зараженном компьютере, запускать на нем файлы, инициировать отказы от обслуживания, получать файлы с компьютера по протоколу FTP и т.д.

Завершим наш сегодняшний отчет описанием двух новых версий червя Gibe.C. Этот вредоносный код распространяется по электронной почте, через программу обмена файлами KaZaA, общие сетевые диски и каналы IRC. Различия между первоначальной версией и ее вариантами заключаются в том, что они сжаты при помощи UPX, а также имеют иной текст, отображаемый при запуске и отправке червя.

Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 13 октября 2003 г.

Ключевые слова: нет

Извините, комментариев пока нет