7 апреля 2003, 11:48

Первый апрельский отчет о вирусах

Panda Software представила недельный отчет о вирусах за прошлую неделю.

Trj/Kamuflao3 поражает компьютеры с операционными системами Windows XP и состоит из трех файлов: клиента, сервера и простой программы для настройки ("Generador Victima Smtp.exe"). Последнюю злоумышленник использует для указания электронного адреса, на который необходимо отправлять IP адрес атакуемого компьютера.

Для работоспособности Trj/Kamuflao3 необходима установка файла сервера на компьютере жертвы - это означает, что пользователь должен запустить данный файл. После настройки данного сервера появляется возможность установки соединения с клиентом, и, таким образом, Trj/Kamuflao3 готов к выполнению определенных действий на зараженном компьютере (таких, как отображение пароля MSN и удаление файлов из корневого каталога жесткого диска).

Червь Grimgram рассылает себя по всем адресам из Адресной книги, а также по адресам, содержащимся в файлах с расширениями "HTM" и "HTML". Кроме того, он распространяется посредством программы для обмена файлами KaZaA и IRC. После заражения компьютера Grimgram выводит на экран сообщение, устанавливает два соединения с сетью Internet и отправляет по адресу achiel2015@latinmail.com электронное сообщение с конфиденциальной информацией, собранной на зараженном компьютере.

Файл, производящий заражение червем Grimgram, представляет собой документ "HTML", содержащий скрипт на Visual Basic. При открытии файла червь создает свою копию в корневой директории жесткого диска и три копии в системной папке. Также Grimgram создает две записи в Системном реестре Wndows. Одна из них обеспечивает запуск червя при каждой загрузке системы, а вторая хранит список электронных адресов, на которые были отправлены копии червя.

Наконец, Cult.B, как и Grimgram, для распространения использует электронную почту и KaZaA, а также изменяет Реестр Windows для автоматического запуска при загрузке системы. Для проведения заражения Cult.B создает свою копию в файле под именем "Wuauqmr.exe" в Системной папке Windows. Опознать этот вредоносный код достаточно просто, так как он попадает на компьютеры в электронном сообщении со следующей темой:  "Hi, I sent you an eCard from BlueMountain.com".

Оцените новость:
  • 0 оценок