Недельный отчет Panda Software Russia о вирусах и вторжениях

Очередной недельный отчет лаборатории PandaLabs (www.viruslab.ru) посвящен червям Oscarbot.IV, Peerbot.B и Netsad.B.

Екатеринбург, 10 июля 2006

Oscarbot.IV – это червь, открывающий несколько коммуникационных портов на зараженных компьютерах, позволяя злоумышленникам осуществлять удаленный доступ к системе. Он также внедряет в систему трояна Protestor.A, который, в свою очередь, способен «записывать экран» и красть данные пользователей. Oscarbot.IV распространяется через программу обмена мгновенными сообщениями America On Line Instant Messenger, отправляя сообщения всем активным контактам пользователя. При запуске он устанавливается в систему в виде службы под названием “Windows Genuine Advantage Validation Notification“, пытаясь выдать себя за анти-пиратскую службу Microsoft и обеспечивая свой запуск при каждом старте системы.

Червь Peerbot.B способен открывать лазейку для получения команд от злоумышленника по IRC. Он также способен красть данные из баз данных SQL Server и Mysql, размещенных на компьютере, которые он затем отправляет по электронной почте. При запуске червь создает несколько файлов в системе, таких как Taskdrv.exe (копию червя) и Libmysql.dll, библиотеку, принадлежащую к базе данных Mysql. Peerbot.B может распространяться по электронной почте и через Р2Р-программы обмена файлами. Он создает ряд файлов в папках общего пользования P2P-программ с именами, выдающими их за «отмычки» для известных игр и приложений. Когда другие пользователи P2P-программ выполняют поиск, в его результатах они могут найти зараженные файлы жертвы. Чтобы избежать обнаружения, Peerbot.B завершает большой список процессов, в основном относящихся к утилитам безопасности, брандмауэрам и даже другому вредоносному ПО. Он изменяет файл HOSTS для того, чтобы запретить доступ к страницам антивирусных компаний.

Netsad.B – это червь, распространяющийся в виде почтового вложения, используя такие сообщения как “sharing files is the essence of living” ("делиться файлами – суть существования”). Он также использует несколько P2P-приложений, включая Kazaa и Emule, создавая свои копии в папках общего пользования для того, чтобы они могли быть скачаны другими пользователями. Netsad.B способен работать, только если на компьютере установлена Microsoft .net framework 2.0. При запуске он создает свою копию в системной папке Windows под названием winservices.cab.bak.exe. Он также создает свои копии с различными именами, включая некоторые имена антивирусов, на прочих системных элементах. Чтобы остаться незамеченным, червь завершает ряд процессов, относящихся к безопасности, оставляя компьютер уязвимым к дальнейшим атакам.

Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/press/analytic/ Там же доступен материал по безопасности Wi-Fi соединений.

О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).

Опубликовано: 10 июля 2006 г.

Ключевые слова: нет

Извините, комментариев пока нет