Главная » Новости » 2005 » 12 » 13 13 декабря 2005

Panda Software: недельный отчет о вирусах и вторжениях (49 неделя 2005 года)

Компания Panda Software в очередной раз делится информация об изменении ситуации на фронте вирусов и вторжений. В отчете за прошедшую неделю были рассмотрены: червь Mytob.LX-, backdoor-Троян Ryknos.G- и Троян -Downloader.GPH-.

Червь Mytob.LX рассылается в электронных сообщениях, сообщающих пользователям, что для продления пользования услугами определенной компании безопасности они должны посетить некую веб-страницу (якобы для подтверждения своего электронного адреса). Однако если пользователь посещает этот сайт, на его компьютер скачивается файл Confirmation_Sheet.pif, который является копией червя Mytob.LX.

После установки, червь ищет на компьютере электронные адреса (во временных файлах Интернета, адресной книге и файлах с определенными расширениями), содержащие определенные текстовые строки. Затем он отсылает себя на найденные адреса, используя собственный SMTP-движок. Для связи с удаленными SMTP-серверами, Mytob.LX добавляет к почтовому домену один из следующих префиксов: gate, mail1, mail, mx, mx1, mxs, ns, relay и smtp.

Mytob.LX открывает лазейку (backdoor) для подключения к IRC-серверу, с целью получения команд управления. Червь также завершает различные процессы, при условии их активности. Некоторые из этих процессов принадлежат антивирусным решениям. Он также изменяет hosts-файл для того, чтобы запретить пользователю доступ к различным сайтам, принадлежащим антивирусным компаниям.

Вторая угроза в отчете – backdoor-Троян Ryknos.G, который, подобно всем троянам, не способен к самостоятельному распространению (распространяется через электронную почту, скачиваемые из Интернета данные, файловые передачи через FTP и пр.). Чтобы избежать обнаружения, он не запускается на компьютерах с именем "sandbox" и с именем пользователя "CurrentUser" (эти данные обычно используются на компьютерах, осуществляющих сбор и анализ вредоносного ПО).

Ryknos.G выполняет на заражаемых компьютерах различные действия, включая следующие:

  • Он завершает процессы, принадлежащие различным брандмауэрам и антивирусам, оставляя компьютер без защиты.
  • Подключается к IRC-каналу #ran2 для получения удаленных команд управления.
  • Генерирует несколько записей в реестре Windows для обеспечения своего запуска при каждом запуске Windows.

Завершается данный отчет трояном Downloader.GPH, отображающим сообщение об ошибке при запуске. Он скачивает файл, который в свою очередь скачивает и запускает на компьютере несколько червей и еще один Троян.

Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software.

12:20 13.12.2005
Оценить новость

Не работают комментарии или голосования? Читайте как почистить куки



ОПРОС Micromax

С какой периодичностью вы меняете смартфоны?
декабрь
Пн
Вт
Ср
Чт
Пт
Сб
Вс
2005

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.