12 июля 2004, 18:42

Недельный отчет о вирусах от PandaLabs

Вирусная лаборатория PandaLabs сообщила о вирусной активности прошлой недели, акцентируя внимание на вирусе Lovgate.AO и трех червях - Korgo.X, Evaman. A и Bagle.AD.

Lovgate.AO – это вирус, имеющий характеристики червя и распространяющийся по электронной почте и через общие сетевые ресурсы, используя брешь переполнения буфера в интерфейсе RPC DCOM Interface. Он поражает компьютеры с Windows 2003/XP/2000/NT и заражает файлы с расширениями EXE, вставляя код в начало и конец каждого из них.

Lovgate.AO устанавливает на зараженном компьютере программу, предоставляющую возможность удаленного доступа к нему. Эта программа отслеживает случайно выбранные порты. Делается это для того, чтобы предоставить удаленный доступ к компьютеру и выполнять действия, которые могут нарушить конфиденциальность хранящихся на компьютере данных (собранная информация отсылается создателю вируса) или нарушить нормальную работу пользователей. Кроме того, если Lovgate.AO обнаруживает определенные процессы в памяти компьютера (связанные с антивирусными программами и другими червями), то он прерывает их.

Первым настоящим червем, рассматриваемым в отчете, является Korgo.X, который использует брешь Windows LSASS для распространения через Интернет и автоматического попадания на компьютеры. Он заражает все системы Windows, но автоматически это происходит лишь в необновленных Windows XP и 2000.

Версия ‘X’ червя Korgo остается резидентной в памяти компьютера и соединяется с несколькими IRC серверами, с которых червь может загружать файлы и запускать их на зараженном компьютере.

Следующий червь, Evaman.A, распространяется через электронную почту в сообщении, имитирующем сообщение об ошибке. Данное сообщение рассылается по всем обнаруженным на определенном веб-сайте адресам. В некоторых случаях, при первом запуске Evaman.A, он открывает Блокнот.

Bagle.AD, распространяется по электронной почте и через программы обмена файлами P2P. Червь открывает и прослушивает TCP порт 1234, ожидая удаленного соединения. Через это соединение он позволяет атакующему получить конфиденциальную информацию и выполнить действия, которые нарушат нормальную работу компьютера. Данная функция червя остается активной до 24 января 2005 года. Для оповещения своего автора о том, что доступен новый ПК через открытый порт, червь соединяется с веб-сайтом со скриптом PHP.

Bagle.AD устраняет записи некоторых версий червя Netsky из Реестра Windows, не позволяя ему активироваться при загрузке системы.

Оцените новость:
  • 0 оценок