Недельный отчет о вирусах

Вебпланета

≡ Архив | архивная статья | 19.07.2004 11:08

В отчете Panda Software, посвященном событиям прошедшей недели, рассматриваются четыре вредоносных кода: трех червей — Bagle.AF, Atak.A и Korgo.Z, а также троянца Bagle.AF.

Bagle.AF использует свой собственный SMTP для рассылки своих копий по электронной почте на все адреса, обнаруженные им в файлах со следующими расширениями: .wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm и .jsp.

Bagle.AF завершает процессы средств обеспечения безопасности, таких как антивирусы, и соединяется с различными скриптами PHP. Кроме того, этот червь содержит код, создающий лазейку в виде открытого порта.

Второй червь отчета, Atak.A, распространяется по электронной почте в сообщении с изменяющимися параметрами, содержащем вложение с двойным расширением. Первое расширение — jpg или gif. За ним при помощи большого количества пробелов скрыто второе — exe.

После того, как Atak.A заразил компьютер, он ищет электронные адреса во всех файлах с расширениями adb или wab, а также в файлах, размер которых не превышает 81920 байт, и которые имеют одно из следующих расширений: asp, cfg, cgi, dbx, eml, htm, html, jsp, log, mbx, mht, msg, nch, ods, php, sht, tbb, uin, vbs и xml. Затем червь рассылает свои копии по всем обнаруженным адресам при помощи собственного SMTP-механизма.

Atak.A создает мьютекс, который обеспечивает одновременное функционирование только одной копии червя. Кроме того, он также проверяет, включен ли отладчик на пораженном компьютере, и, если это так, то червь отключает его.

Последний червь недельного отчета — Korgo.Z, использующий брешь Windows LSASS для распространения через интернет и вторжение на компьютеры. Червь заражает все платформы Windows, но автоматически способен попадать только на компьютеры с Windows XP или 2000, которые не были обновлены.

Версия Z Korgo остается резидентной в памяти и пытается загрузить файлы с ряда веб-сайтов. Также он отправляет на эти веб-сайты информацию о том, в какой стране находится зараженный компьютер. Как и червь, упомянутый выше, Korgo.Z создает мьютекс для предотвращения запуска двух копий червя в одно время.

Завершает отчет описание Xebiz.A, троянца, соединяющегося с веб-сайтом для загрузки троянца Zerolin.A на поражаемый компьютер. Кроме того, он создает несколько файлов и генерирует несколько записей в реестре Windows для обеспечения своего запуска при каждой загрузке компьютера.

Xebiz.A был массово разослан в сообщениях с изменяющимися характеристиками. Однако все сообщения включают в себя форму с кнопкой. При нажатии пользователем на нее начинается загрузка Zerolin.A.

комментарии(0)

разделы: Архив