Недельный отчет о вирусах

Вебпланета

≡ Архив | архивная статья | 01.12.2003 14:32

По мнению антивирусной компании Panda Software Russia, наиболее «интересными» червями прошлой недели следует признать вирусы «Sysbug.A», «Psshutdown.A», «Randex.BF» и «Dialer.CB».

«Sysbug.A» — это троянец, который был массово разослан по электронной почте в сообщении с темой «Re[2]:Mary» и вложенным файлом PRIVATE.ZIP. Это сжатый файл (в формате ZIP), содержащий файл с двойным расширением WENDYNAKED.JPG.EXE.

«Sysbug.A» похищает конфиденциальную информацию с зараженных компьютеров, в том числе пароли к почтовым ящикам, почтовым серверам (SMTP и POP3), новостям, учетным записям соединений с интернетом и т.п. После этого троянец сохраняет собранную информацию в файле и отправляет его хакеру. Кроме того, «Sysbug.A» открывает порт TCP 5555 и ожидает команд управления. Наконец, он соединяется с адресом finance.red-host.com и выполняет запросы GET/POST к двум скриптам Perl.

«Psshutdown.A» является утилитой скрытого управления, позволяющей хакеру выключать и перезагружать компьютеры жертв (схожа с командой Unix «shutdown»). Перезагрузка компьютера может привести к потере всей несохраненной информации. «Psshutdown.A» может использоваться некоторыми червями и троянцами.

«Randex.BF» — это червь с возможностями троянца, распространяющийся через компьютерные сети. Он генерирует произвольные IP адреса и пытается соединиться с ними, используя типичные и простые пароли. Если попытка оказывается удачной, то червь копирует себя на компьютер, к которому он получил доступ. «Randex.BF» также подключается к каналу #goep на IRC сервере opqleure.qopmafia.net и ожидает команд управления (таких как Ntscan и Sysinfo).

Наконец, «Dialer.CB» — это дозвонщик, соединяющийся с интернетом и загружающий файлы, которые затем сохраняются в папке. Кроме того, он создает четыре файла (2_INFO_PERSIST, NAVPMC.DLL, NAVPMC.EXE и UNINSTALL.EXEin) в папке Windows NAVPMC. Помимо этого, «Dialer.CB» создает четыре записи в реестре Windows.

комментарии(3)

разделы: Архив