ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
В отчете, посвященном событиям прошедшей недели, мы рассмотрим шесть версий Korgo, троянца Downloader.JH и утилиту скрытого управления IPScanner.A.
✐ место для Вашей рекламы Как и предшественники, шесть версий Korgo - T, S, R, Q, P, O и N, – которые мы рассмотрим сегодня, используют брешь Windows LSASS для автоматического распространения через Интернет. Несмотря на то, что поражают эти вредоносные программы все платформы Windows, автоматически распространяться они могут только в Windows XP/2000.
Версии Korgo S, R, Q, P и O соединяются с некоторыми веб сайтами и пытаются загрузить с них файлы. Кроме того, они отправляют на эти веб сайты информацию о стране, в которой расположен зараженный компьютер. Korgo.T открывает порт 3067 и просматривает его, ожидая файла для запуска на зараженном компьютере. Кроме того, он пытается соединиться с некоторыми IRC серверами для предоставления возможности выполнения удаленных команд.
Для того чтобы остаться незамеченными, в отличие от других вредоносных программ, использующих брешь LSASS для заражения компьютеров, эти версии Korgo не выводят никаких сообщений и не перезагружают компьютер.
Троянцем сегодняшнего отчета является Downloader.JH, получающий информацию на зараженном компьютере и загружающий на него дозвонщика (обнаруживаемого Panda Software как Dialer.DA). Кроме того, он также создает следующие файлы на поражаемом компьютере: D1K.EXE, OLE32WS.DLL и CAX.CAB. Опознать Downloader.JH достаточно сложно, так как он не выводит никаких сообщений или предупреждений, свидетельствующих об его присутствии. Троянец не распространяется автоматически, используя свои собственные средства. Ему требуется вмешательство атакующего для попадания на компьютеры через различные средства (дискеты, компакт-диски, электронные сообщения с зараженными вложениями, файлы, полученные из сети Интернет, FTP, каналы IRC, сети обмена файлами P2P и т.д.).
Завершим наш сегодняшний отчет описанием IPScanner.A, средства, предназначенного для отслеживания компьютеров в сетях Microsoft. IPScanner.A не выводит никаких сообщений или предупреждений, выдающих его присутствие на зараженном компьютере.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru.
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 28 июня 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
