24 января 2005, 18:58

Активные вирусы прошлой недели

Как сообщает Panda Software, Bropia.A распространяется через MSN Messenger. Он осуществляет это, включая поиск класса приложения  'IMWindowClass', и если находит его, рассылает себя с одним из следующих имен: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif и love_me.pif.

После запуска Bropia.A ищет в %systemdir% файлы со следующими именами: adaware.exe, VB6.EXE, lexplore.exe и Win32.exe. Если их не существует, он создает файл, содержащий копию версии Gaobot. Bropia.A генерирует несколько пустых файлов в пути %systemdir% и открывает их для предотвращения запуска процессов taskmgr.exe и cmd.exe. Также Bropia.A отключает комбинацию клавиш CTRL+ALT+Del и может отключать использование правой кнопки мыши.

Zar.A распространяется по электронной почте в сообщении на тему цунами, произошедшего в Азии в декабре 2004. Заголовок и текст сообщения апеллируют к помощи жертвам, а вложение называется TSUNAMI.EXE. После запуска файла компьютер заражается Zar.A, который, используя MAPI, посылает свои копии по всем адресам в адресной книге Outlook.

Zar.A создает три файла и генерирует запись в реестре Windows для обеспечения своего запуска при каждой загрузке компьютера. Червь также пытается произвести DoS-атаки (Denial of Service) против веб-сайта www.hacksector.de.

Следующий червь - Mydoom.AE, который распространяется в письмах с изменяющимися характеристиками, а также через сети файлового обмена P2P. После заражения компьютера Mydoom.AE выполняет следующие действия:

- Открывает Блокнот и отображает текст, состоящий из произвольных символов.

- Изменяет HOSTS-файл для предотвращения доступа пользователей к веб-страницам определенных антивирусных компаний. Он также завершает процессы, принадлежащие определенным антивирусным программам, оставляя компьютер уязвимым к атакам со стороны прочих вредоносных программ.

- Завершает процессы, принадлежащие вредоносным программам.

- Пытается скачать файл из Интернет.

И последний вредный файл - Gaobot.batch, который является пакетным файлом, удаляющим оригинальный файл Gaobot после его инсталляции на компьютер.

Оцените новость:
  • 0 оценок