ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
В отчете на этой неделе будут рассмотрены червь SdBot.EXG, троянец Cimuz.X и две хакерских утилиты: GuardMon и SpyEx.
✐ место для Вашей рекламы Екатеринбург, 12 сентября 2005
SdBot.EXG – это червь, который распространяется, эксплуатируя пять брешей безопасности: переполнение буфера в SQL Server 2000 (MS02-039); уязвимость в службе Workstation Service (MS03-049); LSASS (MS04-011); RPC-DCOM (MS04-012); и удаленное выполнение кода в Plug and Play (MS05-039) (цифры с скобках означают бюллетень Microsoft, исправляющий каждую уязвимость). Для своей отправки червь обладает собственным FTP и TFTP-сервер.
Sdbot.EXG подключается к определенным IRC-серверам, с которых получает команды, такие как: самообновление, скачивание и запуск файлов, чтение списка общих ресурсов, добавление-удаление таких ресурсов и т.д.
Cimuz.X - это троянец, при установке на компьютер выполняющий ряд действий, включая:
- Открытие произвольного порта, что позволяет использовать компьютер в качестве HTTP-прокси.
- Запуск PHP-скриптов с нескольких веб-адресов для информирования создателя о заражении.
- Для обхода брандмауэров он внедряет свои процессы в процессы других программ, не обладающих ограничениями в Интернет-доступе. Он также добавляет свои процессы в список авторизованных приложений в брандмауэре Windows XP.
- Создает несколько записей в реестре Windows, обладающих различным предназначением (для запуска при каждой загрузке Windows, определения, был ли компьютер заражен ранее и т.д.).
Cimuz.X использует несколько DLL и сторонний код. Его автор, вероятно, заново использовал компоненты других троянцев.
Следующий вредоносный код, который мы рассмотрим – хакерская утилита GuardMon, записывающая нажатые пользователем клавиши. Эта функция может быть использована для получения паролей или другой важной информации, и представляет собой серьезную угрозу.
GuardMon создает на зараженном компьютере файл GPS.DLL, экспортирующий функцию WSPStartup. Эта функция контролирует процесс мониторинга нажатых клавиш.
Мы завершаем сегодняшний отчет хакерской утилитой SpyEx, которая наблюдает за нажатыми пользователем клавишами, используемыми на компьютере приложениями и активностью в Интернете. Собранная информация отсылается в виде вложения по электронной почте на определенный адрес.
Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software на www.viruslab.ru.
О лаборатории PandaLabs
С 1990 года миссией антивирусной лаборатории стал как можно более оперативный анализ новых угроз во имя защиты наших клиентов. Несколько команд экспертов, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным Av.Test.org, PandaLabs в настоящий момент является самой быстрой лабораторией по предоставлению обновлений пользователям во всей отрасли.
Опубликовано: 12 сентября 2005 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
