Главная » Новости » 2007 » 04 » 17 17 апреля 2007

Panda Software: недельный отчет о вирусах и вторжениях (15 неделя 2007 года)

На этой неделе в традиционном отчете PandaLabs будут рассмотрены опасные трояны Cimuz.EL и Gogo.A, а также двое червей UsbStorm.A и Nurech.Z. Кроме того, на этой неделе Microsoft выпустила 5 новых патчей безопасности.

На долю Cimuz.EL пришлось до 57% всех полученных образцов вредоносном ПО, ежечасно поступающих в PandaLabs на прошлой неделе. Cimuz.EL предназначен для кражи с компьютеров всех видов паролей. Данный вредоносный код распространяется поэтапно. Сначала компьютер заражается частью кода, который затем дозагружает остальные компоненты трояна, которые уже выполняют на компьютере наиболее вредоносные действия: крадет и сохраняет информацию о зараженном компьютере (пароли к электронной почте и другим программам, данные об аппаратном и программном обеспечении, IP, месторасположении и др.), а также встраивает DLL в Internet Explorer и собирает все данные, которые пользователи вводят в онлайновых формах.

Всю полученную информацию Cimuz.EL затем периодически пересылает через веб-сервер своему создателю.

Вторым будет рассмотрен троян Gogo.A - новый вредоносный код, предназначенный для кражи данных, которые пользователи вводят с клавиатуры в интернете. Для этого он устанавливается в виде дополнительного модуля Internet Explorer и ведет учет активности пользователя. Когда пользователь набирает какие-либо ключевые слова, Gogo.A активируется и начинается записывать нажатия на клавиши.

Затем с помощью веб-страницы, Gogo.A переправляет собранную информацию своему создателю. Этот троян также использует свойства руткита для того, чтобы скрыть свои процессы и избежать обнаружения, за счет чего становится еще более опасным.

UsbStorm.A – это червь, который распространяется путем копирования самого себя на съемные носители, например, карты памяти USB. Когда один из таких носителей подключают к компьютеру, червь активируется и заражает ПК. UsbStorm.A записывается в память компьютера, где и прячется в ожидании новых накопителей для распространения.

Он остается на компьютере и старается обновиться за счет загрузки своих новых версий с различных веб-страниц.

Nurech.Z – это червь, который попадает в компьютеры вместе с электронными сообщениями под различными заголовками, связанными с массовым распространением вредоносного ПО: Нападение червей!, Шпионская тревога! Вирусная тревога! и др. В качестве отправителя указана ‘Поддержка клиентов (Customer Support)’, чтобы пользователь поверил, что сообщение пришло из надежного источника.

Червь прячется в защищенном паролем .zip-файле, прикрепленном к сообщению, и выдает себя за патч безопасности для защиты от вредоносного ПО, которое предположительно и стало причиной тревоги. Пароль содержится в файле в формате .gif, а не в текстовом файле, чтобы затруднить обнаружение.

Nurech.Z также служит для завершения процессов некоторых решений безопасности, мониторинга и отладки.

Он ищет в компьютере адреса электронной почты для рассылки зараженных сообщений. Более того червь имеет в своем составе два руткита: один из них помогает скрывать процессы для затруднения обнаружения, а другой ищет электронные адреса, создает файлы .gif с паролями и рассылает спамовые сообщения.

Microsoft опубликовала апрельские патчи безопасности: их пять, причем четыре из них получили оценку “критических”.

Первый из них устраняет две уязвимости в Microsoft Content Management Server. Третья брешь находится в Universal Plug and Play, и ей подвержены только системы Windows XP, четвертая брешь была обнаружена в Microsoft Agent и свойственна последним версиям Windows, за исключением Vista. Пятая уязвимость была найдена в CSRSS (Windows Client/Server Runtime Server Subsystem), ей подвержены последние версии Windows, включая Vista и Vista x64.

Все вышеперечисленные уязвимости позволяют злоумышленникам запускать код или удаленно контролировать целевые компьютеры.

Пятый патч, который был назван не “Критическим”, а просто “Важным”, исправляет уязвимость в ядре Windows. Эта брешь безопасности может быть использована удаленным хакером для повышения привилегий на зараженном компьютере.

Все обновления можно загрузить по этому адресу.

10:15 17.04.2007
Оценить новость

Не работают комментарии или голосования? Читайте как почистить куки



апрель
Пн
Вт
Ср
Чт
Пт
Сб
Вс
2007

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.