В новом отчете, посвященном событиям прошедшей недели, лаборатория компании Panda Software рассмотрела четыре червя: версии AG и AH червя Bagle, Mydoom.M и Lovgate.AQ.
Bagle.AG и Bagle.AH – два достаточно похожих червя, оказывающих влияние на компьютеры с системами Windows XP, 2000 или NT. Оба вредоносных кода распространяются в сообщениях электронной почты с меняющимися характеристиками. Для этого они собирают адреса электронной почты и отправляют свои копии по ним.
После установки на компьютер, два новых варианта червя Bagle открывают и прослушивают TCP порт, ожидая удаленного подключения. Это означает, что злоумышленник может получить доступ на компьютер и совершить на нем действия, подрывающие конфиденциальность данных и нарушающие нормальное использование компьютера.
Одной из наиболее опасных возможностей обоих червей является способность завершать работу процессов, принадлежащих антивирусным и защитным программам, после чего компьютер становится беззащитным перед любыми другими атаками.
Bagle.AG и Bagle.AH подключаются к определенным веб страницам, содержащим PHP скрипт, с помощью которого, например, они могут отправлять данные, похищенные с зараженных компьютеров. Кроме этого они удаляют записи в реестре Windows, создаваемые различными червями семейства Netsky.
Mydoom.M - червь, который распространяется по электронной почте в сообщениях с переменными характеристиками, а также через программы обмена файлами P2P.
После проникновения в систему Mydoom.M устанавливает библиотеку DLL, которая открывает TCP порт 1042, создавая тем самым лазейку, через которую злоумышленник может получить доступ на компьютер. Данная библиотека DLL завершает процессы, относящиеся к антивирусным программам и инструментам наблюдения.
И, наконец, Lovgate.AQ – червь, который открывает лазейку на компьютер. Использует несколько способов распространения: электронную почту, программу обмена файлами Kazaa, сетевые ресурсы общего пользования, и т.д.
Lovgate.AQ открывает на компьютере порт обмена данными. Затем он отправляет сообщение удаленному пользователю, информируя о том, что целевой компьютер заражен и на него открыт доступ через порт. Червь также использует «грубую силу» для получения пароля доступа администратора на компьютер. Кроме того, Lovgate.AQ пытается завершить процессы, принадлежащие другим червям.
