В отчете PandaLabs за прошлую неделю будут рассмотрены трояны Ppdropper.A и Sinowal.BS и черви Spybot.ADW и Netsky.BR.
Ppdropper.A – это троян, эксплуатирующий еще не закрытую уязвимость, обнаруженную в нескольких версиях Microsoft PowerPoint и способную позволить удаленному злоумышленнику выполнять доступ к компьютерам с теми же привилегиями, что и аккаунт активного пользователя. Он распространяется через специально созданный документ PowerPoint, попадая к пользователям несколькими путями, в т.ч. через электронную почту, Интернет и Р2Р сети. После заражения системы, Ppdropper.A позволяет проникать в компьютер другим угрозам, таким как Bifrose.QN - это backdoor-троян, позволяющий удаленно контролировать компьютер. Учитывая то, что для исправления используемой троянами уязвимости нет заплатки, рекомендуется проявлять осторожность при открытии документов PowerPoint, вне зависимости от их источника.
Sinowal.BS - это троян, создающий ряд файлов в системе и внедряющий себя в процесс explorer.exe для сбора информации пользователя, включая почтовые пароли для приложений Ak-Mail, Eudora и The Bat, а также хранимые в Защищенном Хранилище. Кроме того, он собирает информацию о FTP-серверах, введенных в FlashFXP и о ссылках Закладок, хранимых в браузерах Explorer и Firefox. Собранная информация отсылается на сайт вместе с прочими данными, такими как IP-адрес и список открытых портов компьютера. Он также выполняет мониторинг данных, отправляемых пользователем при использовании Интернета. Sinowal.BS неспособен распространяться автоматически, поэтому ему требуются действия пользователя для заражения компьютера.
Spybot.ADW это червь с характеристиками backdoor, подключающийся к IRC-серверам, что позволяет злоумышленнику получать информацию о зараженной системе, включая ее IP-адрес. Он также способен устанавливать собственный FTP-сервер. Sinowal.BS неспособен распространяться автоматически, поэтому для заражения компьютера ему требуется действие со стороны пользователя. Однако злоумышленник может настроить его на распространение по адресам, взятым из адресной книги Outlook. Эти письма обладают темой “Critical Update”, в попытке убедить получателей запустить вложенный файл, выдающий себя за заплатку Microsoft для исправления бреши безопасности.
Netsky.BR - это новый червь из известного семейства, распространяющийся по электронной почте, используя адреса, полученные с зараженного компьютера. Кроме этого, он не обладает другими негативными эффектами. Отправляемые им сообщения содержат вложение, которое кажется безопасным текстовым документом с соответствующим значком, но в действительности является исполняемым файлом с двойным расширением. При открытии документа, Netsky.BR делает собственные копии под названием Jammer2nd.exe, вместе с файлами формата MIME.