Недельный отчет Panda Software: уязвимость в PowerPoint и червь, выдающий себя за заплатку от Microsoft

В отчете PandaLabs (www.viruslab.ru) прошлой недели мы рассмотрим троянов Ppdropper.A и Sinowal.BS, и червей Spybot.ADW и Netsky.BR.

Екатеринбург, 24 июля 2006

Ppdropper.A – это троян, эксплуатирующий еще не закрытую уязвимость, обнаруженную в нескольких версиях Microsoft PowerPoint и способную позволить удаленному злоумышленнику выполнять доступ к компьютерам с теми же привилегиями, что и аккаунт активного пользователя. Он распространяется через специально созданный документ PowerPoint, попадая к пользователям несколькими путями, в т.ч. через электронную почту, Интернет и Р2Р сети. После заражения системы, Ppdropper.A позволяет проникать в компьютер другим угрозам, таким как Bifrose.QN - это backdoor-троян, позволяющий удаленно контролировать компьютер. Учитывая то, что для исправления используемой троянами уязвимости нет заплатки, рекомендуется проявлять осторожность при открытии документов PowerPoint, вне зависимости от их источника.

Sinowal.BS - это троян, создающий ряд файлов в системе и внедряющий себя в процесс explorer.exe для сбора информации пользователя, включая почтовые пароли для приложений Ak-Mail, Eudora и The Bat, а также хранимые в Защищенном Хранилище. Кроме того, он собирает информацию о FTP-серверах, введенных в FlashFXP и о ссылках Закладок, хранимых в браузерах Explorer и Firefox. Собранная информация отсылается на сайт вместе с прочими данными, такими как IP-адрес и список открытых портов компьютера. Он также выполняет мониторинг данных, отправляемых пользователем при использовании Интернета. Sinowal.BS неспособен распространяться автоматически, поэтому ему требуются действия пользователя для заражения компьютера.

Spybot.ADW это червь с характеристиками backdoor, подключающийся к IRC-серверам, что позволяет злоумышленнику получать информацию о зараженной системе, включая ее IP-адрес. Он также способен устанавливать собственный FTP-сервер. Sinowal.BS неспособен распространяться автоматически, поэтому для заражения компьютера ему требуется действие со стороны пользователя. Однако злоумышленник может настроить его на распространение по адресам, взятым из адресной книги Outlook. Эти письма обладают темой “Critical Update”, в попытке убедить получателей запустить вложенный файл, выдающий себя за заплатку Microsoft для исправления бреши безопасности.

Netsky.BR - это новый червь из известного семейства, распространяющийся по электронной почте, используя адреса, полученные с зараженного компьютера. Кроме этого, он не обладает другими негативными эффектами. Отправляемые им сообщения содержат вложение, которое кажется безопасным текстовым документом с соответствующим значком, но в действительности является исполняемым файлом с двойным расширением. При открытии документа, Netsky.BR делает собственные копии под названием Jammer2nd.exe, вместе с файлами формата MIME.

Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/press/analytic/ Там же доступен материал по безопасности Wi-Fi соединений.

О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).

Опубликовано: 24 июля 2006 г.

Ключевые слова: нет

Извините, комментариев пока нет