Недельный отчет о вирусах

Вебпланета

≡ Архив | архивная статья | 07.06.2004 14:39

В отчете Panda Software, посвященном событиям прошедшей недели, рассматриваются шесть червей — Plexus.A, Cult.J и четыре версии Korgo, а также Protoride.gen.

Plexus.A распространяется через bнтернет, используя бреши RPC DCOM и LSASS и рассылая себя по всем адресам, обнаруженным на пораженном компьютере и доступных устройствах.

Plexus.A перезаписывает базовый файл, не позволяя компьютеру соединяться с определенными веб-адресами антивирусных компаний, что приводит к невозможности обновлять установленную защиту. Plexus.A получает доступ к папке KaZaA и копирует себя в нее. Кроме того, он создает свои копии в общих сетевых папках.

Cult.J распространяется по электронной почте в сообщении с темой: ’Hello, I sent you a beautiful love card. ^_*’ и вложенным файлом: ’BEAUTIFULLOVE.PIF’. После запуска файла червь рассылает свои копии по некоторым адресам, используя свой собственный SMTP-механизм.

Cult.J остается резидентным в памяти компьютера и пытается соединиться с каналом IRC. Если ему удается установить соединение, то вредоносный код предоставляет атакующему удаленный доступ к зараженному компьютеру, позволяя злоумышленнику выполнять различные действия, в том числе:

— проводить атаки через IRC,
— высылать конфиденциальную и системную информацию,
— загружать и запускать файлы,
— рассылать червей в другие каналы IRC.

Protoride.gen — это механизм обнаружения версий червя Protoride, которые могут появиться в будущем. Вредоносные коды этого семейства обладают следующими характеристиками:

— они распространяются через компьютерные сети путем копирования себя на сетевые ресурсы, к которым им удается получить доступ,
— они соединяются с каналом IRC через порт 6667 и ожидают команд хакера (на загрузку и запуск файлов, скрытие активных процессов и т.д.),
— они изменяют Реестр Windows, предотвращая запуск EXE файлов. В результате некоторые приложения перестают работать.

Следующими червями отчета являются версии C, D, E и F Korgo, распространяющиеся через интернет, используя брешь LSASS. Все версии открывают порт 3067 и просматривают его. Кроме того, они пытаются соединиться с серверами IRC и не позволяют выключить компьютер.

комментарии(0)

разделы: Архив