ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
Мадрид - Екатеринбург, 22.12.2003 - В нашем сегодняшнем отчете мы рассмотрим версии «B» трех вредоносных кодов: Sober, Wincap и Duster.
✐ место для Вашей рекламы Sober.B – это червь, распространяющийся по электронной почте в сообщении на английском или немецком языке. Червь рассылает себя при помощи собственного SMTP механизма по всем обнаруженным им адресам и регистрируется на почтовых серверах, с которых он производит рассылку, под именем «MailerVB.de».
После того, как Sober.B заражает компьютер, он создает две свои копии, которые остаются резидентными в памяти. Червь проверяет, работают ли обе копии, и, если один из процессов прерывается или если удаляется один из файлов, вторая копия восстанавливает его.
Следующий вредоносный код, Duster.B - вирус с характеристиками червя, распространяющийся через программу обмена файлами KaZaA, а также через сетевые диски. Делает он это следующим образом:
- Через KaZaA Duster.B ищет общую папку, используемую в программе по умолчанию. Если таковой не имеется, то червь изменяет запись в Реестре Windows, делая папку общей. После этого он заражает файлы PE, найденные в общей папке, путем добавления в их начало своего кода. При использовании таких файлов другими пользователями, они думают, что получают полезные компьютерные программы, картинки и т.д. Однако, когда они запускают загруженные файлы, то компьютеры заражаются Duster.B.
- Через общие сетевые диски. Duster.B проверяет, не подключен ли зараженный компьютер к сети, и, если это так, то он пытается скопировать файл DUST.EXE на все компьютеры сети, а также создать на каждом из них файл AUTOEXEC.BAT. Это делается для запуска вируса при каждой загрузке компьютера.
Duster.B соединяется с IP адресом 208.178.231.190, принадлежащим IRC серверу, через порт 6667. После этого он ожидает команды управления, такие как загрузка и запуск файлов. В завершение нашего отчета расмотрим Wincap.B - троянца, содержащего список веб адресов, принадлежащих, помимо прочих, онлайновым финансовым ресурсам. Когда пользователь заходит на один из этих веб сайтов, троянец пытается перехватить использемые пароли и сохранить их в файле, который впоследствии будет сжат и отправлен по электронной почте злоумышленнику.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 22 декабря 2003 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
