1. Новости
Заметки пользователей
18.10.2004 16:00
1199
0
18.10.2004 16:00
PDF
1199
0

Недельный отчет о вирусах от компании "Panda"

В отчете, от компании "Panda" посвященном событиям прошедшей недели, мы рассмотрим Netsky.AG, Darby.gen, JPGTrojan.D, Funner.A и Nemsi.A

 Netsky.AG, который был создан при помощи изменения исполнимого файла Netsky.B, рассылает себя по электронной почте, используя собственный SMTP механизм, по всем адресам, обнаруженным им в файлах с определенными расширениями. Для обмана пользователей Netsky.AG подделывает адрес отправителя и использует в качестве него один из адресов, обнаруженных в файлах пораженного компьютера. Данный червь также распространяется через программы обмена файлами P2P.

 После запуска Netsky.AG отображает сообщение об ошибке и пытается скопировать себя на все диски компьютера, за исключением CD-ROM. Эта версия Netsky также удаляет записи в реестре, внесенные другими червями, включая Mydoom.A и Mimail.T.

 Darby.gen – это механизм обнаружения для будущих представителей семейства Darby. Эта группа червей распространяется по электронной почте и через программы обмена файлами P2P. Кроме того, они завершают процессы антивирусных программ и других систем защиты, таких как межсетевые экраны и средства системного мониторинга, оставляя компьютер уязвимым перед атаками других вредоносных объектов.

Третьим червем сегодняшнего отчета является JPGTrojan.D, программа, позволяющая создавать JPG изображения, использующая брешь переполнения буфера при обработке JPEG (описана в бюллетене Microsoft MS04-028).

Последствия открытия изображения, созданного JPGTrojan.D, включают открытие порта, что влечет за собой возможность получения удаленного доступа к пораженному компьютеру и загрузке исполнимого файла из сети Интернет на заражаемый компьютер.

Funner.A – это червь, распространяющийся через MSN Messenger и изменяющий файл HOSTS, не позволяя пользователям получать доступ к некоторым веб сайтам. Более того, на компьютерах с Windows Me/98/95 он изменяет файл SYSTEM.INI для обеспечения своего запуска при каждом включении компьютера, а также перезаписывает файл RUNDLL32.EXE, заменяя его своей копией.

Завершим наш сегодняшний отчет описанием Nemsi.A, вируса, не распространяющегося автоматически при помощи собственных средств. Он попадает на компьютеры при попадании на них ранее зараженных файлов через обычные средства, такие как дискеты, компакт-диски, электронные сообщения с зараженными вложениями, каналы IRC и т.д.).

Nemsi.A заражает EXE файлы путем вставления своего кода в и начало. После заражения компьютера вирус изменяет значок инфицированного файла. При запуске 13 сентября вирус вызывает общий сбой (синий экран) в Windows.

Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/.

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

0 комментариев
Оставлять комментарии могут только авторизованные пользователи