19 октября 2004, 11:26

Отчет о вирусной активности прошлой недели

Как сообщает антивирусная лаборатория Panda Software, на прошлой неделе наиболее активными были следующие вирусы: Netsky.AG, Darby.gen, JPGTrojan.D, Funner.A и Nemsi.A.

Netsky.AG, который был создан при помощи изменения исполнимого файла Netsky.B, рассылает себя по электронной почте, используя собственный SMTP механизм, по всем адресам, обнаруженным им в файлах с определенными расширениями. Для обмана пользователей Netsky.AG подделывает адрес отправителя и использует в качестве него один из адресов, обнаруженных в файлах пораженного компьютера. Данный червь также распространяется через программы обмена файлами P2P.

После запуска Netsky.AG отображает сообщение об ошибке и пытается скопировать себя на все диски компьютера, за исключением CD-ROM. Эта версия Netsky также удаляет записи в реестре, внесенные другими червями, включая Mydoom.A и Mimail.T.

Darby.gen - это механизм обнаружения для будущих представителей семейства Darby. Эта группа червей распространяется по электронной почте и через программы обмена файлами P2P. Кроме того, они завершают процессы антивирусных программ и других систем  защиты, таких как межсетевые экраны и средства системного мониторинга, оставляя компьютер уязвимым перед атаками других вредоносных объектов. 

Третьим червем сегодняшнего отчета является JPGTrojan.D, программа, позволяющая создавать JPG изображения, использующая брешь переполнения буфера при обработке JPEG (описана в бюллетене Microsoft MS04-028).

Последствия открытия изображения, созданного JPGTrojan.D, включают открытие порта, что влечет за собой возможность получения удаленного доступа к пораженному компьютеру и загрузке исполнимого файла из сети Интернет на заражаемый компьютер.

Funner.A - это червь, распространяющийся через MSN Messenger и изменяющий файл HOSTS, не позволяя пользователям получать доступ к некоторым веб сайтам. Более того, на компьютерах с Windows Me/98/95 он изменяет файл SYSTEM.INI для обеспечения своего запуска при каждом включении компьютера, а также перезаписывает файл RUNDLL32.EXE, заменяя его своей копией.

Nemsi.A попадает на компьютеры при попадании на них ранее зараженных файлов через обычные средства, такие как дискеты, компакт-диски, электронные сообщения с зараженными вложениями, каналы IRC и т.д. Nemsi.A заражает EXE-файлы путем вставления своего кода в и начало. После заражения компьютера вирус изменяет значок инфицированного файла. При запуске 13 сентября вирус вызывает общий сбой (синий экран) в Windows.

Оцените новость:
  • 0 оценок