На этой неделе в традиционном отчете PandaLabs будут рассмотрены опасная комбинированная атака, совершенную Spamta.VK и Spamtaload.DT, а также троян Ldpinch.AAI и червь Grum.A. Кроме того, обратимся к описанию нового патча безопасности от Microsoft.
Одним из событий, вызвавших наибольшее беспокойство PandaLabs на этой неделе, стала комбинированная атака, совершенная Spamta.VK и Spamtaload.DT. Spamta.VK – это червь, который подключается к определенным серверам и рассылает огромное количество электронных сообщений. Такие сообщения содержат файл, обычно это исполняемый файл, со скрытой копией Spamtaload.DT. После заражения компьютера троян загружает на него копию Spamta.VK, таким образом, повторяя весь цикл инфицирования заново.
“Комбинированные атаки обеспечивают широкое распространение вредоносных кодов. В данном случае червь используется для распространения трояна. На долю этой атаки приходится до 80% заражений, информация о которых поступает в PandaLabs ежечасно”, - объясняет Луис Корронс, технический директор PandaLabs.
Каждый раз при запуске, Spamtaload.DT демонстрирует сообщение об ошибке, а прячется сам червь в файле с привычным текстовым значком. Spamta.VK загружает из интернета несколько вредоносных файлов, а затем подключается к нескольким серверам для рассылки электронных сообщений. Для этого троян вмешивается в работу некоторых брандмауэров.
Червь Grum.A прячется в электронных сообщениях, предлагающих протестировать фальшивую бета-версию Internet Explorer 7. В теле зараженного письма находится большая картинка, щелкнув по которой пользователь якобы может загрузить бета-версию. Однако, переходя по ссылке, он фактически сам скачивает червя себе на компьютер.
Сразу же после запуска, вредоносный файл самоуничтожается. Grum.A поражает исполняемые файлы (.exe), а затем создает копии этих файлов под теми же именами, но с расширением “.rgn”, чтобы затруднить их удаление из системы.
Grum.A способен скрывать свои процессы с помощью руткитовых технологий, поэтому некоторым антивредоносным решениям достаточно сложно его обнаружить. Также для того, чтобы скрыть своё присутствие, червь перехватывает несколько системных DLL и копирует себя в другие (system.dll, ntdll.dll, kernel32.dll и т.д.).
Grum.A открывает лазейку (backdoor) на зараженных компьютерах. В результате хакер может получить доступ к компьютеру и удаленно управлять им. Затем червь подключается к определенному веб-сайту и обновляется.
На этой неделе Microsoft опубликовала патч безопасности для исправления уязвимости в файлах анимации курсора (.ANI). Данная брешь присутствует в Windows Vista, XP и Server 2003.
Эта уязвимость используется с помощью специально-написанной веб-страницы. Злоумышленникам требуется убедить пользователя заглянуть на страничку, использующую системную брешь безопасности. Если это удается – хакеры смогут удаленно контролировать зараженный компьютер с такими же привилегиями, как и сам залогиненный пользователь. Особую опасность это представляет в случае, если пользователь обладает правами администратора. В таком случае хакер получит полный контроль над зараженным компьютером.
Скачать вышеописанный патч, а также получить более подробную информацию об уязвимости можно по следующему адресу.