vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Недельный отчет о вирусах от компании "Panda"

Дата публикации: 25.10.2004
Количество просмотров: 798
В рамках сегодняшнего отчета от компании "Panda"  рассмотрим EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD и Scranor.A.

EMFTrojan.C – это программа, написанная для создания файлов с уродливыми изображениями, чтобы использовать брешь, через которую можно удаленно запускать код в отношении форматов изображений EMF (Enhanced Metafile), описанных в бюллетене Microsoft MS04-032.

EMFTrojan.C предоставляет несколько опций для конфигурации сгенерированного кода, позволяя выполнить следующие действия после открытия файла:

- Открыть порт, через который на пораженный компьютер могут быть отправлены команды.
- Загружает и запускает файл с определенной URL.

Для защиты компьютеров от этой и других похожих угроз Panda Software разработала Exploit/MS04-032.gen, механизм обнаружения EMF изображений, созданных специально для проникновения через эту брешь.

Первые черви сегодняшнего отчета – это версии AH и AI червя Netsky, которые распространяются через электронную почту, используя свой собственный движок SMTP, на те адреса, получаемые из файлов, объемом меньше чем 10,000,000 байт, имеющие следующие расширения: DBX, WAB, MBX, EML, MDB, TBB или DAT. Они отправляются через 10 минут после запуска, в период между 20 и 25 октября 2004 года. Для предотвращения одновременного заражения Netsky.AH и Netsky.AI создается мьютекс "0x452A561C".

Следующий червь сегодняшнего отчета - Bagz.E. Распространяется по электронной почте с различными характеристиками. Он останавливает процессы приложений, таких как антивирусные программы, оставляя компьютер беззащитным перед лицом атак других угроз.

Bagz.E создает на зараженном компьютере несколько файлов в директориях Windows. Этот червь также изменяет файл HOSTS, блокируя доступ на веб сайты некоторых антивирусных производителей и компаний ИТ безопасности.

Mydoom.AD также распространяется по электронной почте в различных сообщениях. Он подделывает адрес отправителя, используя список имен и доменов.

Используя собственный SMTP движок, Mydoom.AD отправляет собственную копию на все адреса, найденные в файлах со следующими расширениями: ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS и XML.

Для обеспечения одновременного запуска только одной своей копии, Mydoom.AD создает мьютекс My-Game. Также как и другие черви, описанные выше, Mydoom.AD вносит изменения в HOSTS файл для предотвращения доступа к веб сайтам антивирусных производителей.

Версия AD червя Mydoom пытается загрузить файл с веб страницы, относящейся к другому червю Scranor.A. Она сохраняет файл в корневой директории, переименовывает, а потом запускает его.

Завершим отчет червем Scranor.A, который распространяется, копируя себя, не заражая при этом другие файлы. Его цель – проникнуть и поразить компьютеры и сети.

Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software


Дополнительная информация

SMTP (Simple Mail Transfer Protocol): Это протокол, используемый исключительно в Интернет для рассылки электронных сообщений.

Другие определения здесь.
От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/1533/nedelnyiy-otchet-o-virusah-ot-kompanii-panda-.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться