РЕГИСТРАЦИЯ  |  НОВОСТИ  |  ОБРАТНАЯ СВЯЗЬКАК ПИСАТЬ ПРЕСС РЕЛИЗ?  |  ПРИМЕР ПРЕСС-РЕЛИЗА
“...Скромность - самый верный путь к забвению!”
     
Добавить пресс-релиз

Недельный отчет о вирусах

Panda Software Russia
      23-11-2004
 

Екатеринбург, 23 ноября 2004 года.

✐  место для Вашей рекламы

В отчете, посвященном событиям прошедшей недели, мы рассмотрим пять червей: Sober.I, Bagle.BG, Yanz.A, Drew.A и Aler.A, а также троянца Msnsoug.A.

Sober.I рассылается по электронной почте, используя свой собственный SMTP механизм, в сообщении на немецком или английском языке, в зависимости от получателя. Червь собирает электронные адреса на зараженном компьютере и хранит их в файлах. Для обеспечения своего запуска при каждом включении компьютера он создает некоторые записи в реестре Windows.

Bagle.BG рассылает себя в сообщениях с изменяющимися характеристиками. Среди выполняемых им действий открытие и прослушивание порта TCP 2002. Он создает лазейку, открывая доступ к пораженному компьютеру. Bagle.BG также прерывает процессы некоторых приложений, обновляющих антивирусные продукты, оставляя компьютер уязвимым перед атаками.

Yanz.A – это почтовый червь, распространяющийся в сообщениях с сильно изменяющимися характеристиками и отображающий поддельные адреса отправителей. Кроме того, он может использовать программы обмена файлами P2P для распространения путем создания файлов с различными именами, содержащих его копии, в папках, названия которых содержат символы ‘shar’. Как сообщения, так и создаваемые им файлы тематически связаны с китайским певцом Sun Yan Zi.

После запуска файла, содержащего червя, Yanz.A отображает небольшое окно с текстом “Kernel Hatasi”. Кроме того, он открывает и просматривает порт TCP 67. Через данный порт он пытается загрузить все небольшие вредоносные программы, которые Yanz.A тут же запустит.

Drew.A распространяется как через электронную почту, так и через программы обмена файлами. В первом случае он использует свой собственный SMTP механизм для отправки сообщений с сильно изменяющимися параметрами. Текст и тема сообщения выбираются произвольным образом из имеющегося списка. Для распространения через программы P2P Drew.A ищет все папки, названия которых сдержат символы ‘share’, и копирует себя в них, используя привлекающие внимание имена, такие как "Cameron Dias.scr", "Delphi 8 keygen.com" и "DrWeb 4.32 Key.com".

Если пользователь запускает одно из вложений, содержащих Drew.A, то червь создает два файла со своими копиями. Кроме того, он рассылает себя по всем контактам, найденным в адресной книге, и удаляет все файлы с расширениями HTM и TXT, обнаруженные им на компьютере.

Последним червем, рассматриваемым нами сегодня, является Aler.A, который, несмотря на то, что впервые он был обнаружен несколько дней назад, был массово распространен в электронных сообщениях. Тема сообщения следующая: “Latest News about Arafat !!!”. Кроме того, в него вложены два файла. Один из них представляет собой изображение палестинского политика. Второй содержит код, предназначенный для использования бреши в Internet Explorer. Таким образом, червь Aler.A устанавливается на компьютер и распространяется через недостаточно хорошо защищенные сети.

Завершим наш отчет описанием Msnsoug.A, троянца, не распространяющегося при помощи своих собственных средств. После заражения компьютера он ожидает начала сеанса MSN Messenger и отправляет всем из списка контактов, находящимся в сети, текстовое сообщение на португальском языке.

Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 23 ноября 2004 г.

Ключевые слова: нет

 


 

Извините, комментариев пока нет