Сегодняшний отчет от компании "Panda" посвящен семи червям: четырем версиям Mydoom (T, U, V и W), Mywife.D, Mywife.C и Sdbot.AQA, и двум программам adware: Neededware и Wupd.
Mydoom.T, Mydoom.U, Mydoom.V и Mydoom.W распространяются по электронной
почте с различными характеристиками. Версия “T” также использует для размножения
программу обмена файлами KazaA P2P, копируя самого себя с привлекательными
именами в общую папку приложений.
Версии U, V и W Mydoom подключаются к
нескольким веб сайтам, с которых они пытаются загрузить файл (Троянец) и
установить его на компьютер. Mydoom.T открывает приложение Блокнот и выводит на
экран искаженный текст.
Следующие черви из нашего отчета – это Mywife.D и
Mywife.C, которые также распространяются по электронной почте в сообщении с
различными характеристиками. Оба эти вируса имеют следующие черты:
-
Через несколько секунд после запуска они блокируют компьютер, т.к. они
потребляют все доступное время процессора.
- Они удаляют файлы,
принадлежащие нескольким антивирусным программам, если они установлены в тех же
директориях, что и указанные в коде вируса. Они также удаляют записи в Реестре
Windows, принадлежащие этим антивирусным программам, таким образом, что эти
приложения не могут быть запущены автоматически в следующий раз, когда Windows
будет запущен. Они также пытаются найти и закончить процессы антивирусов и
других программ компьютерной безопасности. Это делает компьютер уязвимым для
атак других вредоносных кодов.
- Они также удаляют записи, принадлежащие
другим червям, такие как Mydoom.A, Mimail.T и несколько версий Bagle.
-
Они открывают Windows Media Player.
Последний червь этого отчета -
Sdbot.AQA, который распространяется по компьютерной сети. Это происходит путем
проверки ПК на подключение к сети. Если компьютер подключен, червь пытается
получить доступ и скопировать себя в общие сетевые ресурсы, пробуя стандартные
или простые пароли.
Sdbot.AQA позволяет хакерам получить удаленный доступ
к зараженному компьютеру для исполнения на нем действий, которые нарушат
конфиденциальность пользователя и помешают нормальной работе компьютера.
Sdbot.AQA использует свой собственный клиент IRC для подключения к каналу IRC и
принятия команд удаленного контроля, такие как DoS (распределенные отказы от
обслуживания) веб сайтов. Также он может загрузить и запустить файлы на
зараженном компьютере.
Заканчиваем сегодняшний отчет программами adware
Neededware и Wupd. Эти программы позволяют программам загрузиться и запуститься
без согласия пользователя. Легко определить нахождение этих программ на Вашем
компьютере, т.к. они выводят на экран рекламные сообщения. Wupd также
прослеживает Интернет активность и результаты отображения на экране рекламы.
Более подробную информацию об этих и других вирусах Вы найдете на сайте
Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/
О
Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический
персонал Panda Software приступает к работе. Полученный файл анализируется, и, в
зависимости от его типа, предпринимаются следующие действия: дизассемблирование,
проверка макросов, анализ кода и т.д. если проанализированный таким образом файл
действительно содержит новый вирус, немедленно подготавливаются необходимые
средства для обнаружения и обезвреживания вредоносного кода, которые быстро
распространяются среди пользователей.