Недельный отчет о вирусах

Вебпланета

≡ Архив | архивная статья | 17.05.2004 13:08

В сегодняшнем отчете Panda Software Russia рассматриваются пять червей: Sasser.F, Cycle.A, Bagle.AC, Sober.G и Wallon.A-, а также Qhost.gen.

Sasser.F распространяется через интернет, используя брешь LSASS. На заражаемых компьютерах червь вызывает переполнение буфера в программе LSASS.EXE, перезагружая компьютер и выводя сообщение на экран. Как и предшествующие версии Sasser, версия F автоматически распространяется через компьютеры, работающие под управлением Windows XP/2000. Он также активен и в других операционных системах, если зараженный файл запускает сам пользователь.

Как и вышеупомянутый вредоносный код, Cycle.A также распространяется через интернет, используя брешь LSASS, и приводит к перезагрузке пораженных компьютеров. Кроме того, он также завершает процессы червей Blaster, Sasser.A, Sasser.B, Sasser.C и Sasser.D, а также инициирует отказы от обслуживания на некоторых веб сайтах в любое время, кроме периода с 1 по 18 мая.

Третьим червем нашего отчета является Bagle.AC, завершающий процессы некоторых приложений ИТ безопасности, таких как антивирусы и межсетевые экраны, а также некоторых червей. Он также пытается через порт 14441 соединяться с различными веб сайтами, поддерживающими скрипты PHP для того, чтобы уведомить автора вируса о заражении компьютера.

Sober.G — это червь, распространяющийся по электронной почте. Содержащее его сообщение может быть на английском или немецком языке, в зависимости от домена адреса пользователя. Червь ищет электронные адреса в файлах с определенными расширениями на зараженных компьютерах и отправляет свои копии по обнаруженным адресам при помощи собственного SMTP механизма.

Пятым червем является Wallon.A, устанавливающий себя на компьютеры путем использования бреши Exploit/MIE.CHM. Для этого он использует следующий порядок распространения: пользователь получает электронное сообщение, содержащее ссылку на определенный веб сайт. При открытии данной страницы Wallon.A загружается на компьютер.

Wallon.A собирает все адреса из Адресной Книги Windows Address и высылает их на определенный адрес. Кроме того, червь также изменяет адрес домашней страницы в Internet Explorer и, если в Адресной Книге Windows не содержится ни одного адреса, он выводит на экран сообщение об ошибке.

Завершим наш сегодняшний отчет описанием Qhost.gen, механизма поиска для HOSTS файлов, измененного некоторыми вредоносными программами, включая версии червя Gaobot. Данный файл содержит ряд строк, используемых Windows для перевода имен в IP адреса (до служб WINS и DNS).

HOSTS файлы изменяются этой вредоносной программой таким образом, что ряд веб адресов ассоциируется с IP адресом 127.0.0.1, делая адреса, входящие в данный список, недоступными. Веб страницы, входящие в список, обычно принадлежат производителям антивирусного и защитного ПО. По этой причине пользователям компьютеров, зараженных Qhost.gen, не удается получить информацию, обновить программы и т.д.

комментарии(0)

разделы: Архив