Недельный отчет Panda Software о вирусах и вторжениях

В сегодняшнем отчете мы рассмотрим двух червей – Sober.AH и Mops.A-, троянца -Mitglieder.GB- и потенциально-опасную программу -SpyMon-.

Екатеринбург, 28 ноября 2005

На этой неделе по миру пересылались миллионы сообщений, зараженных Sober.AH. Причины такого массового распространения, в частности, кроются в использовании злоумышленниками методов социальной инженерии для привлечения внимания пользователей. Среди ‘приманок’, используемых Sober.AH были электронные письма, выдающие себя за видеоролик с участием Пэйрис Хилтон и Николь Ричи, а также за предупреждения из ФБР или ЦРУ о доступе к нелегальным Интернет-сайтам.

Sober.AH распространяются по электронной почте в сообщении содержащем сжатый ZIP-файл. Когда пользователь запускает этот файл, червь заражает компьютер и выводит ложное сообщение об ошибке. Если адрес получателя оканчивается на: de (Германия), ch (Швейцария), at (Aвстрия) или li (Лихтенштейн), то сообщение приходит на немецком языке. В остальных случаях письма приходят на английском.

Sober.AH завершает несколько процессов, в том числе программы безопасности, в последнем случае выводя сообщение "No viruses, Trojans or Spyware found! Status OK". Он также создает несколько файлов, включая SERVICES.EXE, CSRSS.EXE и SMSS.EXE, являющихся копией червя. Он выдает себя за легитимный процесс Windows, чтобы не вызывать подозрения у опытных пользователей, проверяющих список процессов.

Следующая угроза, которую мы рассмотрим сегодня - троян Mitglieder.GB, который начал быстро распространяться, и сместил Sober.AH с верхушки рейтинга угроз, наиболее часто находимых Panda ActiveScan (www.viruslab.ru).

Mitglieder.GB не обладает встроенными средствами для распространения, и поэтому должен распространяться вручную. Полученные на данный момент образцы приходили в виде писем с разнообразными заголовками и ZIP-вложением. При запуске этого трояна, он открывает выбранную в Windows программу просмотра изображений и отображает логотип Windows. После установки на компьютер, Mitglieder.GB пытается скачать вредоносный файл с различных веб-страниц каждые четыре часа, используя PHP-скрипт.

Второй червь в сегодняшнем отчете - Mops.A, распространяющийся через Yahoo Messenger и AOL Instant Messenger. Он делает это, рассылая себя в сообщениях, содержащих ссылку. Если пользователь нажимает на ссылку, скачивается самораспаковывающийся RAR-файл, содержащий несколько файлов, принадлежащих Mops.A, Sdbot.FAR и панели инструментов для Internet Explorer.

Мы завершаем сегодняшний отчет ‘потенциально вредоносной программой’ SpyMon, которая помогает осуществлять удаленный контроль над компьютером. В т.ч. позволяет злоумышленнику записывать нажатые лкавиши, просматривать запущенные прозессы и делать копию экрана.

Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software.
Убедитесь, что Ваш компьютер чист от вирусов с помощью бесплатного онлайнового антивируса Panda ActiveScan (www.viruslab.ru )

О PandaLabs

С 1990 года миссией PandaLabs был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, PandaLabs в настоящий момент является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли (более подробная информация на www.viruslab.ru).

Опубликовано: 29 ноября 2005 г.

Ключевые слова: нет

Извините, комментариев пока нет