ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
В отчете, посвященном событиям прошедшей недели, мы рассмотрим четыре вредоносных кода: трех червей - Bagle.AF, Atak.A и Korgo.Z, а также троянца Bagle.AF.
✐ место для Вашей рекламы Bagle.AF использует свой собственный SMTP для рассылки своих копий по электронной почте на все адреса, обнаруженные им в файлах со следующими расширениями: .WAB .TXT .MSG .HTM .SHTM .STM .XML .DBX .MBX .MDX .EML .NCH .MMF .ODS .CFG .ASP .PHP .PL .WSH .ADB .TBB .SHT .XLS .OFT .UIN .CGI .MHT .DHTM и .JSP.
Bagle.AF завершает процессы средств обеспечения безопасности, таких как антивирусы, и соединяется с различными скриптами PHP. Кроме того, этот червь содержит код, создающий лазейку в виде открытого порта.
Второй червь нашего отчета, Atak.A, распространяется по электронной почте в сообщении с изменяющимися параметрами, содержащем вложение с двойным расширением. Первое расширение - JPG или GIF. За ним при помощи большого количества пробелов скрыто второе - EXE.
После того, как Atak.A заразил компьютер, он ищет электронные адреса во всех файлах с расширениями ADB или WAB, а также в файлах, размер которых не превышает 81920 байт, и которые имеют одно из следующих расширений: ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, LOG, MBX, MHT, MSG, NCH, ODS, PHP, SHT, TBB, UIN, VBS и XML. Затем червь рассылает свои копии по всем обнаруженным адресам при помощи собственного SMTP механизма.
Atak.A создает мьютекс, который обеспечивает одновременное функционирование только одной копии червя. Кроме того, он также проверяет, включен ли отладчик на пораженном компьютере, и, если это так, то червь отключает его.
Последний червь нашего недельного отчета - Korgo.Z, использующий брешь Windows LSASS для распространения через Интернет и вторжение на компьютеры. Червь заражает все платформы Windows, но автоматически способен попадать только на компьютеры с Windows XP или 2000, которые не были обновлены.
Версия Z Korgo остается резидентной в памяти и пытается загрузить файлы с ряда веб сайтов. Также он отправляет на эти веб сайты информацию о том, в какой стране находится зараженный компьютер. Как и червь, упомянутый выше, Korgo.Z создает мьютекс для предотвращения запуска двух копий червя в одно время.
Завершим наш отчет описанием Xebiz.A, троянца, соединяющегося с веб сайтом для загрузки троянца Zerolin.A на поражаемый компьютер. Кроме того, он создает несколько файлов и генерирует несколько записей в Реестре Windows для обеспечения своего запуска при каждой загрузке компьютера.
Xebiz.A был массово разослан в сообщениях с изменяющимися характеристиками. Однако все сообщения включают в себя форму с кнопкой. При нажатии пользователем на нее начинается загрузка Zerolin.A.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/.
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 19 июля 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
