ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
Мадрид - Екатеринбург, 8.12.2003 - В первом декабрьском отчете мы рассмотрим трех червей: версии L и M червя Mimail, а также Gaobot.BK.
✐ место для Вашей рекламы Mimail.L и Mimail.M распространяются по электронной почте в сообщении, содержащем файл, который, в свою очередь, содержит другой файл с двойным расширением. Оба червя используют свои собственные SMTP механизмы для рассылки самих себя по обнаруженным адресам. Кроме того, они инициируют отказы от обслуживания на различных серверах и регистрируют себя как сервисы Windows с целью избежания появления в списке процессов в Диспетчере задач. Можно выделить следующие различия между версиями:
- Тема сообщения. Mimail.L либо не заполняет тему сообщения, либо использует текст "Re[2]we are going to bill your credit card", а сообщение, содержащее Mimail.M, имеет тему "Re: GREG" или "Re[3]" плюс ряд случайных символов.
- Имена вложенных файлов. Mimail.L использует WENDY.ZIP и FOR_GREG_WITH_LOVE.JPG.EXE, а для Mimail.M, кроме WENDY.ZIP, могут использоваться only_for_greg.zip, for_greg.jpg.exe и Wendy.Exe.
- Серверы, атакуемые вирусами.
- Изменения, вносимые в Реестр Windows на компьютере жертвы.
Третьим рассматриваемым нами сегодня червем является Gaobot.BK, который, в целях распространения на как можно большее число компьютеров, использует бреши RPC DCOM и WebDAV. Кроме того, он также распространяется путем копирования себя на общие сетевые ресурсы, к которым ему удается получить доступ путем «угадывания» простых или распространенных паролей. Явным признаком присутствия Gaobot.BK на компьютере является значительное увеличение трафика на портах TCP 135 и 445, как следствие его попыток использовать бреши в системе защиты.
После запуска Gaobot.BK соединяется с определенным IRC сервером и ожидает команд управления. Это позволяет атакующему получать информацию с зараженного компьютера, запускать файлы, инициировать отказы от обслуживания, передавать файлы по FTP и т.д. Кроме того, червь прерывает процессы антивирусных программ, межсетевых экранов и средств системного мониторинга, оставляя ПК уязвимым перед атаками червей и вирусов. Gaobot.BK также прерывает процессы Nachi.A, Autorooter.A, Sobig.F и некоторых версий Blaster.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 8 декабря 2003 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
