ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
На этой неделе в отчете рассматриваются три червя: Bropia.A, Zar.A , Mydoom.AE и файл Gaobot.batch.
✐ место для Вашей рекламы Екатеринбург, 24 января 2005 года
Bropia.A распространяется через MSN Messenger. Он осуществляет это, включая поиск класса приложения 'IMWindowClass', и если находит его, рассылает себя с одним из следующих имен: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif и love_me.pif.
После запуска Bropia.A ищет в %systemdir% файлы со следующими именами: adaware.exe, VB6.EXE, lexplore.exe и Win32.exe. Если их не существует, он создает файл, содержащий копию версии Gaobot. Bropia.A генерирует несколько пустых файлов в пути %systemdir% и открывает их для предотвращения запуска процессов taskmgr.exe и cmd.exe. Также Bropia.A отключает комбинацию клавиш CTRL+ALT+Del и может отключать использование правой кнопки мыши.
Zar.A распространяется по электронной почте в сообщении на тему цунами, произошедшего в Азии в декабре 2004. Заголовок и текст сообщения апеллируют к помощи жертвам, а вложение называется TSUNAMI.EXE. После запуска файла компьютер заражается Zar.A, который, используя MAPI, посылает свои копии по всем адресам в адресной книге Outlook.
Zar.A создает три файла и генерирует запись в реестре Windows для обеспечения своего запуска при каждой загрузке компьютера. Червь также пытается произвести DoS-атаки (Denial of Service) против веб-сайта www.hacksector.de.
Следующий червь, рассматриваемый сегодня - Mydoom.AE, который распространяется в письмах с изменяющимися характеристиками, а также через сети файлового обмена P2P.
После заражения компьютера Mydoom.AE выполняет следующие действия:
- Открывает Блокнот и отображает текст, состоящий из произвольных символов.
- Изменяет HOSTS-файл для предотвращения доступа пользователей к веб-страницам определенных антивирусных компаний. Он также завершает процессы, принадлежащие определенным антивирусным программам, оставляя компьютер уязвимым к атакам со стороны прочих вредоносных программ.
- Завершает процессы, принадлежащие вредоносным программам.
- Пытается скачать файл из Интернет.
Мы заканчивает сегодняшний отчет упоминанием Gaobot.batch, который является пакетным файлом, удаляющим оригинальный файл Gaobot после его инсталляции на компьютер.
Для большей информации по этим и прочим компьютерным угрозам, посетите Вирусную Энциклопедию Panda Software: http://www.viruslab.ru
Дополнительная информация
- Пакетные / BAT файлы: Файлы с расширением BAT, позволяющие автоматизацию операций.
- MAPI (Messaging Application Program Interface): Система, используемая для предоставления программам возможности посылать и получать email через определенную систему сообщений.
Более подробная информация: http://www.pandasoftware.com/virus_info/glossary/default.aspx
About PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 24 января 2005 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
