В своем очередном еженедельном отчете о вирусах и вторжениях компания PandaLabs рассказывает о троянах Briz.I и Mitglieder.IZ, червях Bagle.JG и BlackAngel и шпионской программе DigiKeyGen.
Briz.I – это троян, используемый в криминальной афере с целью кражи конфиденциальных данных (банковские данные и пароли). Для распространения ему требуются действия со стороны пользователя - открытие почтовых вложений или скачивание файлов из Интернета/P2P-сетей. Он также был обнаружен на некоторых веб-страницах, в основном нелегального или порнографического содержания, которые перенаправляют пользователей на другую страницу, автоматически скачивающую вредоносный файл с помощью эксплойтов. Оказавшись в системе, Briz.I присваивает себе имя “iexplore.exe”, пытаясь выдать себя за процесс Internet Explorer. Затем он отключает службы безопасности Windows (брандмауэр) и изменяет hosts-файл для того, чтобы блокировать доступ к вебсайтам антивирусных компаний. Наконец, он скачивает на зараженный компьютер другой компонент и самоудаляется. Этот компонент отправляет злоумышленнику информацию о системе, включая IP-адрес и страну. Он также устанавливает плагин для захвата вводимых пользователем данных в формах Internet Explorer, таких как пароли и банковские данные. Briz.I также позволяет использовать зараженный компьютер в качестве шлюза для доступа к прочим сайтам, маскируя злоумышленника, и предоставляет доступ к файлам зараженной системы.
Mitglieder.IZ – это троян, внедряемый в системы червем Bagle.JG, который пытается скачать на пораженную систему файлы, выдающие себя за файлы JPG и PHP, но в действительности являющиеся обновлениями Bagle.JG. С этой целью он подключается к нескольким веб-сайтам для того, чтобы искать сетевые серверы eDonkey и копировать себя в сеть. Троян копирует себя в систему под именем Mdelk.exe и создает ключ реестра (Hkey_Current_User\\Software\\Microsoft\\Windows\\CurrentVersion\\Run), указывающий на mdelk.exe с целью запуска при каждом старте системы.
Bagle.JG – это червь, внедряющий на зараженный компьютер трояна Mitglieder.IZ. Он также пытается снизить безопасность зараженного компьютера, завершая службы утилит безопасности, среди которых антивирусы и брандмауэры. Bagle.JG распространяется через программу P2P eDonkey, копируя себя под именами файлов, собранных Mitglieder.IZ, так чтобы пользователи считали, что это полезный файл. Он вставляет запись в реестр Windows для обеспечения своего запуска при каждом старте системы, и еще одну в Hkey_Current_User\\ Software\\FirstrRun для отметки компьютера, чтобы знать, заражен он или нет.
BlackAngel.A - это червь, пытающийся завершить процессы, связанные с утилитами безопасности, такими как антивирусы и брандмауэры. Также он блокирует запуск некоторых утилит Windows на зараженном компьютере, среди которых редактор реестра и диспетчер задач. Он распространяется через MSN Messenger, выдавая себя за файл проигрывателя Windows Media Player с двойным расширением, который при запуске выводит на экран сообщение об ошибке и отправляет копию червя на все активные контакты пользователя. Самые разрушительные действия червя заключаются в удалении ряда критических записей реестра Windows, что предотвращает загрузку системы.
DigiKeyGen – это рекламное ПО, размещенное на нескольких веб-страницах, заманивающее пользователей предложением паролей для бесплатного доступа к порнографическому контенту. При запуске он внедряет в систему код под названием SpywareQuake, вместе с одноименным антишпионским приложением. Затем антишпионская программа шантажирует пользователя, сообщая ему, что его компьютер заражен, и единственный способ вылечить его – приобрести лицензию на программу. DigiKeyGen может быть скачан с нескольких веб-сайтов ‘взрослого’ содержания, а также с официальной веб-страницы программы. И наконец, рекламная программа создает файл под названием eregperf.exe в папке Windows зараженного компьютеры, вместе с файлом, считающим сколько раз была запущена программа. Он также вводит ключ в запись реестра Hkey_Local_Machine\\Software\\Microsoft\\Windows\\Currentversion\\ Policies\\Explorer\\Run чтобы максимально усложнить ручную дезинфекцию.