Главная » Новости » 2005 » 01 » 28 28 января 2005

Panda Software: недельный отчет о вирусах

Компания Panda Software предоставила недельный отчет, посвященном событиям прошедшей недели, где рассматриваются черви Bropia.A, Zar.A , Mydoom.AE и файл Gaobot.batch.

Bropia.A распространяется через MSN Messenger. Он осуществляет это, включая поиск класса приложения ´IMWindowClass´, и если находит его, рассылает себя с одним из следующих имен: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif и love_me.pif.

После запуска Bropia.A ищет в %systemdir% файлы со следующими именами: adaware.exe, VB6.EXE, lexplore.exe и Win32.exe. Если их не существует, он создает файл, содержащий копию версии Gaobot. Bropia.A генерирует несколько пустых файлов в пути %systemdir% и открывает их для предотвращения запуска процессов taskmgr.exe и cmd.exe. Также Bropia.A отключает комбинацию клавиш CTRL+ALT+Del и может отключать использование правой кнопки мыши.

Zar.A распространяется по электронной почте в сообщении на тему цунами, произошедшего в Азии в декабре 2004. Заголовок и текст сообщения апеллируют к помощи жертвам, а вложение называется TSUNAMI.EXE. После запуска файла компьютер заражается Zar.A, который, используя MAPI, посылает свои копии по всем адресам в адресной книге Outlook.

Zar.A создает три файла и генерирует запись в реестре Windows для обеспечения своего запуска при каждой загрузке компьютера. Червь также пытается произвести DoS-атаки (Denial of Service) против веб-сайта www.hacksector.de.

Следующий червь, рассматриваемый сегодня — Mydoom.AE, который распространяется в письмах с изменяющимися характеристиками, а также через сети файлового обмена P2P.

После заражения компьютера Mydoom.AE выполняет следующие действия:

  • Открывает Блокнот и отображает текст, состоящий из произвольных символов.
  • Изменяет HOSTS-файл для предотвращения доступа пользователей к веб-страницам определенных антивирусных компаний. Он также завершает процессы, принадлежащие определенным антивирусным программам, оставляя компьютер уязвимым к атакам со стороны прочих вредоносных программ.
  • Завершает процессы, принадлежащие вредоносным программам.
  • Пытается скачать файл из Интернет.

Напоследок упоминем о Gaobot.batch, который является пакетным файлом, удаляющим оригинальный файл Gaobot после его инсталляции на компьютер.

Более подробную информацию об этих и других вирусах вы найдете на сайте Вирусной Энциклопедии Panda Software.

15:00 28.01.2005
Оценить новость
Sorry, temp error.

Не работают комментарии или голосования? Читайте как почистить куки



Sorry, temp error.
январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс
2005

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.