Главная » Новости » 2005 » 01 » 28 28 января 2005

Panda Software: недельный отчет о вирусах

Компания Panda Software предоставила недельный отчет, посвященном событиям прошедшей недели, где рассматриваются черви Bropia.A, Zar.A , Mydoom.AE и файл Gaobot.batch.

Bropia.A распространяется через MSN Messenger. Он осуществляет это, включая поиск класса приложения ´IMWindowClass´, и если находит его, рассылает себя с одним из следующих имен: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif и love_me.pif.

После запуска Bropia.A ищет в %systemdir% файлы со следующими именами: adaware.exe, VB6.EXE, lexplore.exe и Win32.exe. Если их не существует, он создает файл, содержащий копию версии Gaobot. Bropia.A генерирует несколько пустых файлов в пути %systemdir% и открывает их для предотвращения запуска процессов taskmgr.exe и cmd.exe. Также Bropia.A отключает комбинацию клавиш CTRL+ALT+Del и может отключать использование правой кнопки мыши.

Zar.A распространяется по электронной почте в сообщении на тему цунами, произошедшего в Азии в декабре 2004. Заголовок и текст сообщения апеллируют к помощи жертвам, а вложение называется TSUNAMI.EXE. После запуска файла компьютер заражается Zar.A, который, используя MAPI, посылает свои копии по всем адресам в адресной книге Outlook.

Zar.A создает три файла и генерирует запись в реестре Windows для обеспечения своего запуска при каждой загрузке компьютера. Червь также пытается произвести DoS-атаки (Denial of Service) против веб-сайта www.hacksector.de.

Следующий червь, рассматриваемый сегодня — Mydoom.AE, который распространяется в письмах с изменяющимися характеристиками, а также через сети файлового обмена P2P.

После заражения компьютера Mydoom.AE выполняет следующие действия:

  • Открывает Блокнот и отображает текст, состоящий из произвольных символов.
  • Изменяет HOSTS-файл для предотвращения доступа пользователей к веб-страницам определенных антивирусных компаний. Он также завершает процессы, принадлежащие определенным антивирусным программам, оставляя компьютер уязвимым к атакам со стороны прочих вредоносных программ.
  • Завершает процессы, принадлежащие вредоносным программам.
  • Пытается скачать файл из Интернет.

Напоследок упоминем о Gaobot.batch, который является пакетным файлом, удаляющим оригинальный файл Gaobot после его инсталляции на компьютер.

Более подробную информацию об этих и других вирусах вы найдете на сайте Вирусной Энциклопедии Panda Software.

15:00 28.01.2005
Оценить новость

Не работают комментарии или голосования? Читайте как почистить куки



январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс
2005

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.