В этом недельном отчете от компании Panda Software будут рассмотрены четыре хакерских утилиты: Application/WeatherBug, AKeyLogger, ActiKeyLogger и SvrAny.A и два червя: Mytob.KN и Sdbot.FJA
Application/WeatherBug - это программа, показывающая в системном лотке погоду и температуру выбранного района, а также прогноз погоды на несколько дней вперед и рекламу. Application/WeatherBug устанавливает панель инструментов, названную Application/Myway, создает записи в реестр Windows и создает несколько файлов.
AKeyLogger и ActiKeyLogger – это два приложения, выполняющие ряд действий на зараженном компьютере, включая следующие:
- Запись нажатий клавиш, что позволяет им использоваться для получения паролей и другой конфиденциальной информации, которая затем отправляется по электронной почте.
- Они могут запускаться в скрытом режиме, при этом их не видно после установки. Если они запущены в видимом режиме, в системном лотке отображается иконка.
- Они остаются резидентными в памяти.
- Они могут быть настроены на запуск при каждой загрузке Windows.
- Они создают несколько файлов в подпапке директории Program Files.
Четвертая хакерская утилита, рассматриваемая сегодня, SvrAny.A, способна управлять службами из командной строки. Ее действия включают запуск исполняемых файлов как служб, а также запуск, блокирование, создание и удаление служб.
Первый червь в сегодняшнем отчете - Mytob.KN, распространяющийся по электронной почте в варьирующемся сообщении. После установки он подключается к IRC-серверу и ожидает команд удаленного контроля.
Mytob.KN завершает процессы, принадлежащие различным утилитам безопасности, таким как антивирусные программы и брандмауэры, а также процессы других вредоносных программ. Он также запрещает доступ к определенным веб-страницам, в основном принадлежащим антивирусным компаниям. На компьютерах с Windows XP Service Pack 2 он отключает брандмауэр, встроенный в эту операционную систему.
Завершает сегодняшний отчет червь Sdbot.FJA, эксплуатирующим уязвимости LSASS, RPC DCOM, Workstation Service и Plug and Play для распространения через Интернет.
Sdbot.FJA подключается к нескольким IRC-серверам для получения команд удаленного контроля. Он может скачивать и запускать файлы, получать пароли Outlook и Internet Explorer, хранимые в защищенном хранилище, запускать и останавливать службы Windows, и т.д.
Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software.