Panda Software: недельный отчет о вирусах и вторжениях

На этой неделе в отчете будут рассмотрены три угрозы: троянцы Banker.AXW и Format.A, а также почтовый червь Sober.Y.

Екатеринбург, 10 сентября 2005

Format.A – это троянец, выдающий себя за утилиту, разработанную для запуска неподписанного кода в консоли PSP (PlayStation Portable). Однако при запуске он удаляет ключевые для функционирования консоли файлы, в результате чего она не сможет запуститься. Для распространения Format.A описывает себя как приложение для изменения с помощью эксплойта версии BIOS PSP-консолей на более старую версию, чтобы запускать пиратские игры.

Banker.AXW – это троянец, осуществляющий мониторинг окон с заголовками, содержащими определенные текстовые строки, в основном относящиеся к банкам. Далее он записывает нажимаемые в этих окнах клавиши для получения паролей и прочей важной информации. Этот троянец использует несколько PHP-скриптов для отправки собранной информации. Как и большинство троянцев, Banker.AXW не способен распространяться самостоятельно. Ему требуется участие злоумышленника для проникновения на компьютер. Способы его распространения включают, среди прочих, дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы и т.д.

И, наконец, мы рассмотрим Sober.Y - это новый представитель данного семейства червей, который, как и его предшественники, способен к быстрому распространению по электронной почте. Всего через несколько часов после его появления PandaLabs начала регистрировать инциденты с его участием по всему миру. Чтобы предотвратить распространение этого червя, в особенности через компьютеры, не имеющие надлежащей защиты, Panda Software предоставляет пользователям бесплатную утилиту PQRemove, которая обнаруживает и удаляет этого червя с любого зараженного компьютера. Ее можно скачать по адресу: http://www.pandasoftware.com/download/utilities

Для распространения этот червь использует два вида писем: первое – письмо на английском языке с темой “Your new password” (Ваш новый пароль), которое пытается заставить пользователей поверить в то, что это уведомление об изменении пароля, предлагающее для ознакомления данные во вложенном файле - pword_change.zip. Второе – письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией червя.

Если этот файл запущен, выводится ложное сообщение об ошибке CRC, при этом вредоносные действия продолжаются. Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями, и рассылает себя по ним, используя собственный SMTP-механизм. Если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), червь отправляет немецкую версию письма.

Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software на www.viruslab.ru.

О лаборатории PandaLabs

С 1990 года миссией антивирусной лаборатории стал как можно более оперативный анализ новых угроз во имя защиты наших клиентов. Несколько команд экспертов, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным Av.Test.org, PandaLabs в настоящий момент является самой быстрой лабораторией по предоставлению обновлений пользователям во всей отрасли.

Опубликовано: 10 октября 2005 г.

Ключевые слова: нет

Извините, комментариев пока нет