14 октября 2003, 11:08

Недельный отчет о вирусах от Panda Software

Антивирусная компания Panda Software выпустила отчет о событиях прошедшей недели, в котором рассматривает трех троянцев -  IRCBot.D, Ruledor.A и Pup.A, червя Gaobot.S и две новых версии Gibe.C.

IRCBot.D рассылает себя по электронной почте в сообщении с темой 'Last Update' и вложенным файлом 'NAV32.EXE', пытаясь обмануть пользователей и заставить их поверить в то, что данное сообщение отправлено антивирусной компанией. При запуске вложенного файла IRCBot.D остается резидентным в памяти и соединяется с каналом IRC. Из него вредоносный код получает команды для выполнения - перенаправление портов, загрузка и запуск файлов, сканирование портов, инициирование отказов от обслуживания (DoS) и рассылка самого себя по другим каналам IRC.

Вторым троянцем отчета является Ruledor.A, который устанавливает различные версии троянца Istbar, добавляет панель инструментов в Internet Explorer, выводит на экран всплывающее окно с рекламной информацией и, из-за ошибки в коде, иногда завершает процессы Internet Explorer. Когда пользователь вводит адрес в Internet Explorer, Ruledor.A проверяет, есть ли схожие адреса среди его рекламы и, если это так, то он перенаправляет пользователя на соответствующий веб сайт.

Третий троянец, Pup.A остается резидентным в памяти и открывает различные рекламные веб страницы в окне Internet Explorer. Когда пользователь пытается закрыть их, окно Internet Explorer минимизируется, загружая веб страницу, содержащую процедуру PHP. Данная процедура без ведома пользователя соединяется с определенными веб адресами и отправляет информацию о создателе троянца, который получает деньги за количество посещений.

Первым рассматриваемым сегодня червем является Gaobot.S, который имеет признаки программы, предоставляющей несанкционированный удаленный доступ к системе, и заражает компьютеры, работающие под управлением ОС Windows XP/2000/NT. Для распространения на как можно большее число компьютеров червь использует бреши RPC DCOM и WebDAV.Кроме того, он распространяется путем копирования себя на общие сетевые ресурсы, доступ к которым червь пытается получить благодаря использованию типичных паролей. После активации Gaobot.S соединяется с определенным IRC сервером через 6667 порт и ожидает дальнейших команд.

Gaobot.S завершает процессы антивирусных программ, межсетевых экранов и средств мониторинга системы, оставляя пораженный компьютер уязвимым перед атаками других вирусов и червей. Кроме того, он завершает процессы Nachi.A, Autorooter.A, Sobig.F и некоторых версий червя Blaster. Благодаря своим возможностям Gaobot.S способен также получать информацию о зараженном компьютере, запускать на нем файлы, инициировать отказы от обслуживания, получать файлы с компьютера по протоколу FTP и т.д.

Завершает отчет описание двух новых версий червя Gibe.C. Этот вредоносный код распространяется по электронной почте, через программу обмена файлами KaZaA, общие сетевые диски и каналы IRC. Различия между первоначальной версией и ее вариантами заключаются в том, что они сжаты при помощи UPX, а также имеют иной текст, отображаемый при запуске и отправке червя.

Оцените новость:
  • 0 оценок