ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
В отчете, посвященном событиям прошедшей недели, мы рассмотрим пять червей - Sasser.F, Cycle.A, Bagle.AC, Sober.G и Wallon.A-, а также Qhost.gen.
✐ место для Вашей рекламы Sasser.F распространяется через Интернет, используя брешь LSASS. На заражаемых компьютерах червь вызывает переполнение буфера в программе LSASS.EXE, перезагружая компьютер и выводя сообщение на экран. Как и предшествующие версии Sasser, версия F автоматически распространяется через компьютеры, работающие под управлением Windows XP/2000. Он также активен и в других операционных системах, если зараженный файл запускает сам пользователь.
Как и вышеупомянутый вредоносный код, Cycle.A также распространяется через Интернет, используя брешь LSASS, и приводит к перезагрузке пораженных компьютеров. Кроме того, он также завершает процессы червей Blaster, Sasser.A, Sasser.B, Sasser.C и Sasser.D, а также инициирует отказы от обслуживания на некоторых веб сайтах в любое время, кроме периода с 1 по 18 мая.
Третьим червем нашего отчета является Bagle.AC, завершающий процессы некоторых приложений ИТ безопасности, таких как антивирусы и межсетевые экраны, а также некоторых червей. Он также пытается через порт 14441 соединяться с различными веб сайтами, поддерживающими скрипты PHP для того, чтобы уведомить автора вируса о заражении компьютера.
Sober.G – это червь, распространяющийся по электронной почте. Содержащее его сообщение может быть на английском или немецком языке, в зависимости от домена адреса пользователя. Червь ищет электронные адреса в файлах с определенными расширениями на зараженных компьютерах и отправляет свои копии по обнаруженным адресам при помощи собственного SMTP механизма.
Пятым червем является Wallon.A, устанавливающий себя на компьютеры путем использования бреши Exploit/MIE.CHM. Для этого он использует следующий порядок распространения: пользователь получает электронное сообщение, содержащее ссылку на определенный веб сайт. При открытии данной страницы Wallon.A загружается на компьютер.
Wallon.A собирает все адреса из Адресной Книги Windows Address и высылает их на определенный адрес. Кроме того, червь также изменяет адрес домашней страницы в Internet Explorer и, если в Адресной Книге Windows не содержится ни одного адреса, он выводит на экран сообщение об ошибке.
Завершим наш сегодняшний отчет описанием Qhost.gen, механизма поиска для HOSTS файлов, измененного некоторыми вредоносными программами, включая версии червя Gaobot. Данный файл содержит ряд строк, используемых Windows для перевода имен в IP адреса (до служб WINS и DNS).
HOSTS файлы изменяются этой вредоносной программой таким образом, что ряд веб адресов ассоциируется с IP адресом 127.0.0.1, делая адреса, входящие в данный список, недоступными. Веб страницы, входящие в список, обычно принадлежат производителям антивирусного и защитного ПО. По этой причине пользователям компьютеров, зараженных Qhost.gen, не удается получить информацию, обновить программы и т.д.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 17 мая 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
