ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
Мадрид - Екатеринбург, 09.02.2004 - В отчете, посвященном событиям прошедшей недели, мы рассмотрим всем известный Mydoom.A, а также обратимся к пяти принципиально различным типам вредоносных объектов: Mimail.T, Sdbot.MH, Gaobot.DQ, X-Scan.A и Y2k.
✐ место для Вашей рекламы Несмотря на то, что количество заражений червем Mydoom.A в начале прошлой недели стабилизировалось, ему все равно удалось занять первое место по количеству зараженных компьютеров. Этот червь заразил в пять раз больше машин, чем Downloader.L, второй по активности вирус (по данным проверок, сделанных онлайновым антивирусом Panda ActiveScan).
Mydoom.A – наиболее быстро распространяющийся вредоносный код за всю историю компьютеров. Он стал причиной самой серьезной вирусной эпидемии. Как известно, он распространяется по электронной почте в сообщении с изменяющимися характеристиками, а также через программу обмена файлами KaZaA. Если системная дата зараженного компьютера находится в промежутке между 1 и 12 февраля, он инициирует распределенные отказы от обслуживания (DDoS) на веб сайтеe www.sco.com. После 12 февраля 2004 Mydoom.A прекращает свои действия.
Версия «T» червя Mimail рассылается в электронном сообщении с изменяемыми параметрами и в сжатом, защищенном паролем файле, содержащим непосредственно код червя. Время от времени он проверяет, открыто ли соединение с Интернетом, и пытается получить доступ к веб сайту www.google.com. Кроме того, для предотвращения появления своих процессов в Диспетчере задач, Mimail.T регистрируется как сервис Windows.
Третьим вредоносным кодом нашего отчета является Sdbot.MH. Это программа, предоставляющая доступ к пораженному компьютеру. Она остается резидентной в памяти и соединяется с сервером для доступа к определенному каналу IRC с целью получения команд управления, таких как загрузка и запуск файлов, сканирование портов и т.п. Gaobot.DQ – это червь, заражающий компьютеры с Windows 2003/XP/2000/NT. Он распространяется путем создания своих копий на общих сетевых ресурсах, доступ к которым ему удается получить, а также при помощи использования брешей RPC Locator, RPC DCOM и WebDAV. Явным признаком присутсвия Gaobot.DQ на компьютере является значительное увеличение трафика на портах TCP 135 и 445, поскольку червь пытается использовать указанные бреши.
После активации Gaobot.DQ соединяется с определенным IRC сервером и ожидает команд управления. Кроме того, он завершает процессы антивирусных программ, межсетевых экранов, средств системного мониторинга, а также других вредоносных кодов, таких как Nachi.A и Sobig.F.
X-Scan.A является утилитой скрытого управления, которая ищет бреши в компьютерах и сетях. При обнаружении таковой программа перехватывает все данные, введенные с клавиатуры. Она получает информацию с компьютера (тип и версия ОС, состояние стандартных портов, информация о Реестре Windows, протоколах SNMP и NETBIOS, наличие брешей CGI/IIS/RPC, даные о SQL/FTP/SMTP/POP3 серверах и т.д.). И, наконец, Y2K - это программа-шутка, отображающая окно с предложением провести тест и выснить, подвержен ли компьютер ошибке Y2K. Во время этого фиктивного теста программа открывает и закрывает устройство для чтения компакт дисков, трясет изображение экрана, двигает указатель мыши и т.д. После завершения этого теста Y2k информирует об обнаружении бреши в PC-Speaker и о том, что до ее устранения на протяжении 2000 года будет невозможно включить компьютер. После этого программа признается, что это всего лишь шутка.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 9 февраля 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
