Компания Panda Software предоставила очередной отчете, в котором будут рассмотрены два новых червя – Sober.AH и Mops.A-, троянец -Mitglieder.GB- и потенциально-опасная программа -SpyMon-.
На этой неделе по миру пересылались миллионы сообщений, зараженных Sober.AH. Причины такого массового распространения, в частности, кроются в использовании злоумышленниками методов социальной инженерии для привлечения внимания пользователей. Среди ‘приманок’, используемых Sober.AH были электронные письма, выдающие себя за видеоролик с участием Пэйрис Хилтон и Николь Ричи, а также за предупреждения из ФБР или ЦРУ о доступе к нелегальным Интернет-сайтам.
Sober.AH распространяются по электронной почте в сообщении содержащем сжатый ZIP-файл. Когда пользователь запускает этот файл, червь заражает компьютер и выводит ложное сообщение об ошибке. Если адрес получателя оканчивается на: de (Германия), ch (Швейцария), at (Aвстрия) или li (Лихтенштейн), то сообщение приходит на немецком языке. В остальных случаях письма приходят на английском.
Sober.AH завершает несколько процессов, в том числе программы безопасности, в последнем случае выводя сообщение "No viruses, Trojans or Spyware found! Status OK". Он также создает несколько файлов, включая SERVICES.EXE, CSRSS.EXE и SMSS.EXE, являющихся копией червя. Он выдает себя за легитимный процесс Windows, чтобы не вызывать подозрения у опытных пользователей, проверяющих список процессов.
Следующая угроза, которую мы рассмотрим сегодня - троян Mitglieder.GB, который начал быстро распространяться, и сместил Sober.AH с верхушки рейтинга угроз, наиболее часто находимых Panda ActiveScan.
Mitglieder.GB не обладает встроенными средствами для распространения, и поэтому должен распространяться вручную. Полученные на данный момент образцы приходили в виде писем с разнообразными заголовками и ZIP-вложением. При запуске этого трояна, он открывает выбранную в Windows программу просмотра изображений и отображает логотип Windows. После установки на компьютер, Mitglieder.GB пытается скачать вредоносный файл с различных веб-страниц каждые четыре часа, используя PHP-скрипт.
Второй червь в сегодняшнем отчете - Mops.A, распространяющийся через Yahoo Messenger и AOL Instant Messenger. Он делает это, рассылая себя в сообщениях, содержащих ссылку. Если пользователь нажимает на ссылку, скачивается самораспаковывающийся RAR-файл, содержащий несколько файлов, принадлежащих Mops.A, Sdbot.FAR и панели инструментов для Internet Explorer.
Завершает сегодняшний отчет ‘потенциально вредоносная программа’ SpyMon, которая помогает осуществлять удаленный контроль над компьютером. В т.ч. позволяет злоумышленнику записывать нажатые лкавиши, просматривать запущенные прозессы и делать копию экрана.
Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software.