Недельный отчет Panda Software о вирусах и вторжениях

На этой неделе отчет антивирусной лаборатории PandaLabs (www.viruslab.ru) о вирусах и вторжениях фокусируется на нескольких, очень разных, кодах. Мы рассмотрим вирусы ASPLux.A и Dengis.A; троянца Snifsteal.A и потенциально нежелательную программу Prokeylogger.

Екатеринбург, 31 июля 2006г.

ASPLux.A – вирус, не обладающий разрушительными функциями. Его главной целью является распространение путем включения своего кода в файлы ASPX, используемые во многих веб-страницах. Для заражения вирус ищет файл ASPX, лежащий в основе созданной пользователем веб-страницы, и внедряет свой код. В результате, некоторые из файлов ASPX становятся непригодными к использованию. Зараженные файлы помечаются как “” для того, чтобы исключить повторное заражение.

Для своего распространения, вирус также поражает другие файлы путем включения своего кода в файлы ASPX, найденные в определенной директории на зараженном компьютере. Для проникновения в компьютер вирус использует обычные каналы заражения: Дискеты, компакт-диски, электронные сообщения с вложениями, скачиваемые из Интернета файлы, содержимое FTP, IRC-каналы, пиринговые системы обмена файлами (P2P) и т.д.

Следующим мы рассмотрим вирус Dengis.A, который также не содержит вредоносных эффектов. Он поражает исходники в программе для решения математических задач ‘Matlab’. Для этого вирус создает COM-объект с использованием функции ‘actxserver’. Далее, такой объект позволяет произвести выполнение кода, отсутствующего в составе вируса. Dengis.A использует псевдо-полиморфное шифрование на основе операции XOR и ключа, который изменяется для каждого заражения.

Snifsteal.A - троянец, состоящий из модифицированной версии расширения для Mozilla под названием NumberedLinks 0.9, которое является компонентом браузера Mozilla и используется для перехода по ссылкам на веб-страницах с помощью клавиатуры, а не мыши.

Этот троянец собирает информацию, которую пользователи вводят в формах (через Firefox), например, пароли для программы обмена мгновенными сообщениями ICQ, FTP-сервера и почтовых клиентов IMAP и POP3. Такие данные затем пересылаются создателю кода. Он подключается к http://81.96.133/sutra/in.cgi4_, чтобы проверить, не были ли данные загружены ранее.

В конце отчета мы обратим внимание на Prokeylogger – потенциально нежелательную программу или ПНП (PUP). Данная программа отслеживает нажатые пользователем клавиши, собирая информацию о паролях и записывая скриншоты. Она также может следить за удаленными десктопами и веб-камерами, буфером обмена, электронной почтой, чатами и мгновенными сообщениями. Собранная информация хранится в лог-файле, который затем рассылается по электронной почте или FTP в HTML- или RTF-формате.

Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/press/analytic/ Там же доступен материал по безопасности Wi-Fi соединений.

О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).

Опубликовано: 31 июля 2006 г.

Ключевые слова: нет

Извините, комментариев пока нет