Panda Software: недельный отчет Panda Software о вирусах и вторжениях (48 неделя) — Alien @ 10.12.2005 14:50

Компания Panda Software представила отчет, где будут рассмотрены эксплойт -BodyOnLoad-, троян -AVKiller.V-, и червь -Samony.B.

BodyOnLoad это программа, разработанная для эксплуатации уязвимости Javascript remote code execution в Internet Explorer. Ее цель – скачивание любых файлов (что представляет серьезную опасность в случае, если эти файлы являются вредоносным ПО), размещенных на определенных сайтах 'взрослого' содержания. Процесс инфекции начинается, когда пользователь посещает одну из таких страниц, которая перенаправляет его на вторую страницу, содержащую BodyOnLoad.

BodyOnLoad уже используется для скачивания и запуска трояна, обозначенного Panda Software как Downloader.DLE. Эксплуатируя эту брешь безопасности, эксплойт устанавливает файл -KVG.exe-, принадлежащий трояну, который скачивает и запускает два других файла: -all.exe и XPsys.exe-. Последние два являются компонентами Downloader.DLE. Данный троян снижает уровень безопасности браузера; действует как точка входа для прочего вредоносного ПО и устанавливает несколько файлов, принадлежащих PicsPlace, программе, непрерывно открывающей страниц ‘взрослого’ содержания.

Вторая угроза, которую мы рассмотрим сегодня - AVKiller.V, которая, подобно всем троянам, неспособна распространяться самостоятельно, и поэтому полагается на ручное распространение (по электронной почте, скачиваемые с Интернета файлы, FTP-передачи, или прочими методами). Этот троян выполняет на заражаемом компьютере следующие действия:

• Пытается скачать файл SERVER.EXE с определенного сайта. Этот файл – троян, обозначенный Panda Software как Banker.BHD.
• Удаляет записи реестра Windows, соответствующие программам безопасности для того, чтобы запретить их запуск при загрузке Windows.
• Удаляет из папки Program Files все файлы в подпапке MICROSOFT ANTISPYWARE.
• Создает два файла: STRT.EXE, свою копию; и VM2.DLL, компонент AVKiller.V, который инсталлируется на компьютер и запускается при каждом запуске Internet Explorer.
• Создает нескольких записей реестра Windows для обеспечения своего запуска при загрузке системы.

Samony.B – это червь с backdoor-характеристиками, распространяющийся по электронной почте с заголовком: "Account # 394875948JNO Wed, 28", и содержащий файл "MAIN_23_C.EXE".

После своей установки на компьютер Samony.B выполняет ряд действий:

• Ждет получения удаленных команд управления через порт 321 (скачивание, запуск, копирование и удаление файлов, выдача списка директорий и т.д.), что позволяет производить удаленное администрирование компьютера.
• Осуществляет сбор хранимых на компьютере паролей, например в защищенном хранилище, где хранятся пароли Outlook, Internet Explorer и т.д.
• Записывает нажатия клавиш.
• Скачивает определенную веб-страницу, содержащую определенный цифровой код. Если этот код равен или больше 0013, Samony.B попытается обновить себя, скачивая с веб-страницы файл DOWNLOAD.EXE.
• Отправляет свою копию на все контакты адресной книги Windows, и все адреса, которые он находит в файлах с расширением HTML.