Недельный отчет о вирусах

Две версии Mydoom, AO и AM, две версии Gaobot, DAC и CYK, и Bropia.J будут рассмотрены в отчете этой недели.

Екатеринбург, 21 февраля 2005

Mydoom.AO появился в середине недели. Он обладает способностью распространяться гораздо быстрее и шире, чем основная масса компьютерных вирусов. Причина кроется в том, что он использует Google, Altavista, Yahoo и Lycos для поиска email-адресов, на которые он рассылает собственные копии. Для обмана пользователей рассылаемые письма он выдает за сообщения о недоставленной почте.

Электронные сообщения, несущие Mydoom.AO содержат вложенный файл, в котором находится код вируса, с одним из следующих расширений: ZIP, COM, SCR, EXE, PIF, BAT или CMD. Если пользователь запускает вложенный файл, червь создает несколько своих копий под именем JAVA.EXE на зараженном компьютере и ищет email-адреса в адресной книге Windows, временных файлах Интернет и файлах с определенными расширениями. После того, как червь выполнит эти действия, он выбирает имена доменов из найденных адресов и использует их как тему для поиска в Google, Altavista, Yahoo и Lycos. Затем Mydoom.AO отсылает себя на все найденные таким образом адреса. Также он создает несколько записей в реестре Windows для того, чтоб обеспечить свой запуск при каждом запуске компьютера.

Вторая версия Mydoom в сегодняшнем отчете – AM, которая распространяется в электронных сообщениях с варьирующимися характеристиками, а также через P2P-программы обмена файлами KaZaA, Morpheus, eDonkey2000, iMesh и LimeWare.

На заражаемых компьютерах Mydoom.AM завершает процессы, принадлежащие определенным утилитам безопасности, например таким, как некоторые антивирусы и межсетевые экраны, оставляя зараженный компьютер уязвимым к атакам прочих вредоносных программ. Червь также изменяет HOSTS-файл для того, чтобы запретить доступ к веб-сайтам нескольких производителей антивирусов, и завершает процессы других червей, таких как Netsky, Bagle, Sobig и Blaster.

Gaobot.DAC и Gaobot.CYX – это два червя, которые используют несколько способов размножения, включая следующие:

- Они создают копии себя в сетевых ресурсах общего пользования, к которым им удается получить доступ.

- Чтобы распространяться через Интернет они используют бреши безопасности, такие как уязвимости LSASS и RPC DCOM, для которых уже выпущены заплатки от Microsoft.

Версии DAC и CYX обладают backdoor-возможностями, что позволяет хакерам осуществлять удаленное управление компьютером, и выполнять действия, такие как выполнение команд, скачивание и запуск файлов, отслеживание нажатых клавиш, кража различной информации с компьютера, запуск распределенных атак отказа сервиса (DDoS) и т.д.

Мы завершаем отчет этой недели червем Bropia.J, который распространяется через MSN Messenger. При своем запуске, вредоносный код пытается отобразить HTML-страницу, которая содержит ссылку на определенную веб-страницу, для того чтобы отобразить изображение. Bropia.J также предотвращает доступ пользователя к Диспетчеру задач и Редактору реестра Windows (файл REGEDIT.EXE).

Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную Энциклопедию Panda Software: http://www.viruslab.ru

Дополнительная информация

- DoS / Denial of Service / Отказ сервиса: этот тип атаки, иногда проводимый вирусами, запрещает пользователям доступ к определенным сервисам ( в операционной системе, веб-серверах, и т.д.).

Больше терминов можно найти на: http://www.pandasoftware.com/virus_info/glossary/default.aspx

О PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 21 февраля 2005 г.

Ключевые слова: нет

Извините, комментариев пока нет