ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
Трояны Briz.I и Mitglieder.IZ, черви Bagle.JG и BlackAngel и шпионская программа DigiKeyGen – темы недельного отчета лаборатории PandaLabs.
✐ место для Вашей рекламы Екатеринбург, 6 июня 2006
Briz.I – это троян, используемый в криминальной афере с целью кражи конфиденциальных данных (банковские данные и пароли). Для распространения ему требуются действия со стороны пользователя - открытие почтовых вложений или скачивание файлов из Интернета/P2P-сетей. Он также был обнаружен на некоторых веб-страницах, в основном нелегального или порнографического содержания, которые перенаправляют пользователей на другую страницу, автоматически скачивающую вредоносный файл с помощью эксплойтов. Оказавшись в системе, Briz.I присваивает себе имя “iexplore.exe”, пытаясь выдать себя за процесс Internet Explorer. Затем он отключает службы безопасности Windows (брандмауэр) и изменяет hosts-файл для того, чтобы блокировать доступ к вебсайтам антивирусных компаний. Наконец, он скачивает на зараженный компьютер другой компонент и самоудаляется. Этот компонент отправляет злоумышленнику информацию о системе, включая IP-адрес и страну. Он также устанавливает плагин для захвата вводимых пользователем данных в формах Internet Explorer, таких как пароли и банковские данные. Briz.I также позволяет использовать зараженный компьютер в качестве шлюза для доступа к прочим сайтам, маскируя злоумышленника, и предоставляет доступ к файлам зараженной системы.
Mitglieder.IZ – это троян, внедряемый в системы червем Bagle.JG, который пытается скачать на пораженную систему файлы, выдающие себя за файлы JPG и PHP, но в действительности являющиеся обновлениями Bagle.JG. С этой целью он подключается к нескольким веб-сайтам для того, чтобы искать сетевые серверы eDonkey и копировать себя в сеть. Троян копирует себя в систему под именем Mdelk.exe и создает ключ реестра (Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run), указывающий на mdelk.exe с целью запуска при каждом старте системы.
Bagle.JG – это червь, внедряющий на зараженный компьютер трояна Mitglieder.IZ. Он также пытается снизить безопасность зараженного компьютера, завершая службы утилит безопасности, среди которых антивирусы и брандмауэры. Bagle.JG распространяется через программу P2P eDonkey, копируя себя под именами файлов, собранных Mitglieder.IZ, так чтобы пользователи считали, что это полезный файл. Он вставляет запись в реестр Windows для обеспечения своего запуска при каждом старте системы, и еще одну в Hkey_Current_User\ Software\FirstrRun для отметки компьютера, чтобы знать, заражен он или нет.
BlackAngel.A - это червь, пытающийся завершить процессы, связанные с утилитами безопасности, такими как антивирусы и брандмауэры. Также он блокирует запуск некоторых утилит Windows на зараженном компьютере, среди которых редактор реестра и диспетчер задач. Он распространяется через MSN Messenger, выдавая себя за файл проигрывателя Windows Media Player с двойным расширением, который при запуске выводит на экран сообщение об ошибке и отправляет копию червя на все активные контакты пользователя. Самые разрушительные действия червя заключаются в удалении ряда критических записей реестра Windows, что предотвращает загрузку системы.
DigiKeyGen – это рекламное ПО, размещенное на нескольких веб-страницах, заманивающее пользователей предложением паролей для бесплатного доступа к порнографическому контенту. При запуске он внедряет в систему код под названием SpywareQuake, вместе с одноименным антишпионским приложением. Затем антишпионская программа шантажирует пользователя, сообщая ему, что его компьютер заражен, и единственный способ вылечить его – приобрести лицензию на программу. DigiKeyGen может быть скачан с нескольких веб-сайтов ‘взрослого’ содержания, а также с официальной веб-страницы программы. И наконец, рекламная программа создает файл под названием eregperf.exe в папке Windows зараженного компьютеры, вместе с файлом, считающим сколько раз была запущена программа. Он также вводит ключ в запись реестра Hkey_Local_Machine\Software\Microsoft\Windows\Currentversion\ Policies\Explorer\ Run чтобы максимально усложнить ручную дезинфекцию.
Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/download/report2005/
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).
Опубликовано: 6 июня 2006 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
