Недельный отчет о вирусах от компании "Panda"
В рамках сегодняшнего отчета от компании "Panda" рассмотрим EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD и Scranor.A.
EMFTrojan.C – это программа, написанная для создания файлов с уродливыми изображениями, чтобы использовать брешь, через которую можно удаленно запускать код в отношении форматов изображений EMF (Enhanced Metafile), описанных в бюллетене Microsoft MS04-032.
EMFTrojan.C предоставляет несколько опций для конфигурации сгенерированного кода, позволяя выполнить следующие действия после открытия файла:
- Открыть порт, через который на пораженный компьютер могут быть отправлены команды.
- Загружает и запускает файл с определенной URL.
Для защиты компьютеров от этой и других похожих угроз Panda Software разработала Exploit/MS04-032.gen, механизм обнаружения EMF изображений, созданных специально для проникновения через эту брешь.
Первые черви сегодняшнего отчета – это версии AH и AI червя Netsky, которые распространяются через электронную почту, используя свой собственный движок SMTP, на те адреса, получаемые из файлов, объемом меньше чем 10,000,000 байт, имеющие следующие расширения: DBX, WAB, MBX, EML, MDB, TBB или DAT. Они отправляются через 10 минут после запуска, в период между 20 и 25 октября 2004 года. Для предотвращения одновременного заражения Netsky.AH и Netsky.AI создается мьютекс "0x452A561C".
Следующий червь сегодняшнего отчета - Bagz.E. Распространяется по электронной почте с различными характеристиками. Он останавливает процессы приложений, таких как антивирусные программы, оставляя компьютер беззащитным перед лицом атак других угроз.
Bagz.E создает на зараженном компьютере несколько файлов в директориях Windows. Этот червь также изменяет файл HOSTS, блокируя доступ на веб сайты некоторых антивирусных производителей и компаний ИТ безопасности.
Mydoom.AD также распространяется по электронной почте в различных сообщениях. Он подделывает адрес отправителя, используя список имен и доменов.
Используя собственный SMTP движок, Mydoom.AD отправляет собственную копию на все адреса, найденные в файлах со следующими расширениями: ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS и XML.
Для обеспечения одновременного запуска только одной своей копии, Mydoom.AD создает мьютекс My-Game. Также как и другие черви, описанные выше, Mydoom.AD вносит изменения в HOSTS файл для предотвращения доступа к веб сайтам антивирусных производителей.
Версия AD червя Mydoom пытается загрузить файл с веб страницы, относящейся к другому червю Scranor.A. Она сохраняет файл в корневой директории, переименовывает, а потом запускает его.
Завершим отчет червем Scranor.A, который распространяется, копируя себя, не заражая при этом другие файлы. Его цель – проникнуть и поразить компьютеры и сети.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software
Дополнительная информация
SMTP (Simple Mail Transfer Protocol): Это протокол, используемый исключительно в Интернет для рассылки электронных сообщений.
Другие определения здесь.
![vk](https://vk.com/share.php?url=https://nag.ru/news/1807&title=Недельный отчет о вирусах от компании "Panda"&description=<FONT size=2>В рамках сегодняшнего отчета от компании</FONT><A href="http://www.viruslab.ru/"><FONT size=2> "Panda"</FONT></A><FONT size=2> рассмотрим EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD и Scranor.A.</FONT>&image=https://nag.ru/uploads/material/images/1807/social_cover.png)
![mail](https://connect.ok.ru/offer?url=https://nag.ru/news/1807&title=Недельный отчет о вирусах от компании "Panda"&imageUrl=https://nag.ru/uploads/material/images/1807/social_cover.png)
