Недельный отчет Panda Software Russia о вирусах и вторжениях: червь CrazyFrog.A крадет банковские данные

В данном недельном отчете PandaLabs (www.viruslab.ru) описываются черви CrazyFrog.A и Nugache.A, трояны Banker.CTD, LootSeek.AU и вирус Matlab/Lagob.

Екатеринбург, 10 мая 2006

CrazyFrog.A – это червь, распространяющийся по системе обмена мгновенными сообщениями MSN Messenger и разработанный специально для того, чтобы красть пароли доступа к этому приложению и банковские данные зараженного пользователя. Для этого он наблюдает за сетевым трафиком и проверяет, не открыл ли пользователь веб-страницы с определенными текстовыми строками, относящимися к онлайновым банковским сервисам в их адресе. Если пользователь открывает одну из таких страниц, Crazyfrog.A устанавливает трояна, который похищает вводимые пользователем данные.

Nugache.A может распространяться тремя различными способами: эксплуатируя известные программные уязвимости LSSAS и RPC DCOM, через популярное приложение MSN Messenger и через электронную почту.
При установке на компьютер, Nugache.A создает свою копию в системной директории Windows, в файле с именем MSTC.EXE. В дополнение, он генерирует несколько записей в реестре Windows. Сделав это, он открывает ряд коммуникационных портов для подключения к нескольким IP-адресам, с которых получает удаленные инструкции через P2P-сети, что позволяет злоумышленнику выполнять на зараженной системе вредоносные действия.

Banker.CTD - новый банковский троян, который, как и схожие с ним трояны, разработан для кражи конфиденциальных данных, необходимых для доступа к онлайновым банковским сервисам.
Banker.CTD ожидает, пока пользователь не откроет веб-страницы определенных банков, среди которых Banking, Bradesco, NetBanking, Santander и Sudameris, с целью записи вводимых пользователем данных. Затем он отправляет данные на определенный электронный адрес.
Для проникновения в компьютер, Banker.CTD требуется вмешательство злоумышленника. Возможными распространителями могут быть: дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы, содержимое FTP, IRC-каналы, пиринговые системы обмена файлами (P2P) и т.д.

LootSeek.AU – это троян, который в свою очередь скачивает другого трояна - Rizalof.BL – на инфицированный компьютер. Он также использует анонимный прокси-сервер для массированной рассылки нового вредоносного ПО. Кроме того, он завершает несколько процессов утилит безопасности и обновления Windows.

И наконец, Matlab/Lagob – это вирус, способный заражать файлы с расширением M – соответствующем популярному приложению решения математических задач Matlab. При этом вирус добавляет свой код в начало файла.

Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/download/report2005/

О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).

Опубликовано: 10 мая 2006 г.

Ключевые слова: нет

Извините, комментариев пока нет