19 июля 2004, 8:48

Вирусы прошлой недели: три червя и один троянец

На прошлой неделе, согласно отчету вирусной лаборатории PandaLabs, особую активность проявляли четыре вредоносных кода: три червя - Bagle.AF, Atak.A и Korgo.Z, а также троянец Bagle.AF.

Bagle.AF использует свой собственный SMTP для рассылки своих копий по электронной почте на все адреса, обнаруженные им в файлах со следующими расширениями: .WAB .TXT .MSG .HTM .SHTM .STM .XML .DBX .MBX .MDX .EML .NCH .MMF .ODS .CFG .ASP .PHP .PL .WSH .ADB .TBB .SHT .XLS .OFT .UIN .CGI .MHT .DHTM и .JSP. Bagle.AF завершает процессы средств обеспечения безопасности, таких как антивирусы, и соединяется с различными скриптами PHP. Кроме того, этот червь содержит код, создающий лазейку в виде открытого порта.

Второй червь нашего отчета, Atak.A, распространяется по электронной почте в сообщении с изменяющимися параметрами, содержащем вложение с двойным расширением. Первое расширение - JPG или GIF. За ним при помощи большого количества пробелов скрыто второе - EXE. Atak.A создает мьютекс, который обеспечивает одновременное функционирование только одной копии червя. Кроме того, он также проверяет, включен ли отладчик на пораженном компьютере, и, если это так, то червь отключает его.

Последний червь - Korgo.Z, использующий брешь Windows LSASS для распространения через Интернет и вторжение на компьютеры. Червь заражает все платформы Windows, но автоматически способен попадать только на компьютеры с Windows XP или 2000, которые не были обновлены. Версия Z Korgo остается резидентной в памяти и пытается загрузить файлы с ряда веб сайтов. Также он отправляет на эти веб сайты информацию о том, в какой стране находится зараженный компьютер. Как и червь, упомянутый выше, Korgo.Z создает мьютекс для предотвращения запуска двух копий червя в одно время.

Завершается отчет описанием Xebiz.A, троянца, соединяющегося с веб сайтом для загрузки троянца Zerolin.A на поражаемый компьютер. Кроме того, он создает несколько файлов и генерирует несколько записей в Реестре Windows для обеспечения своего запуска при каждой загрузке компьютера. Xebiz.A был массово разослан в сообщениях с изменяющимися характеристиками. Однако все сообщения включают в себя форму с кнопкой. При нажатии пользователем на нее начинается загрузка Zerolin.A.

Оцените новость:
  • 0 оценок