Недельный отчет о вирусах от 30 августа 2004

Вебпланета

≡ Архив | архивная статья | 30.08.2004 13:24

В отчете Panda Software, посвященном событиям прошедшей недели, рассматриваются пять вредоносных кодов: вирус Shruggle.1318; два червя — Sasser.G и Gaobot.AIR; а также два троянца — MhtRedir.S и StartPage.JL.

Shruggle.1318 не способен распространяться автоматически при помощи своих средств. Он заражает компьютеры, на которые ранее были переданы зараженные файлы. Такие файлы могут попадать на компьютеры через классические средства распространения вирусов (дискеты, электронные сообщения с вложенными файлами, файлы, полученные из интернета, через FTP, каналы IRC и программы обмена файлами P2P).

Shruggle.1318 заражает файлы PE и DLL (Dynamic Link Library) в 64 битных операционных системах Windows для процессоров AMD.

Первым червем отчета является Sasser.G, распространяющийся через интернет, атакуя удаленные компьютеры и используя брешь LSASS. Для этого он отправляет ICMP запросы на случайный IP адрес через порт TCP 445.

Sasser.G автоматически распространяется только на компьютерах с ОС Windows XP/2000, а работает и во всех остальных версиях ОС Windows, если файл, содержащий червя, открывается пользователем. Наконец, стоит заметить, что Sasser.G использует брешь LSASS, вызывая переполнение буфера в программе LSASS.EXE, что ведет к перезагрузке компьютера.

Gaobot.AIR — это червь, создающий лазейку на компьютере и использующий широкий ряд средств распространения, перечисленных ниже:

— использует бреши LSASS, RPC DCOM и WebDAV для распространения через интернет,
— делает свои копии на общих сетевых ресурсах, к которым удается получить доступ,
— попадает на компьютеры с SQL Server с паролем системного администратора,
— может попадать на компьютеры с программой DameWare Mini Remote Control, а также на компьютеры с троянцами: Optix, NetDevil, Kuang и SubSeven.

Gaobot.AIR предоставляет возможность удаленного управления зараженным им компьютером, разрешая атакующему выполнять следующие типы действий: выполнять команды, загружать и запускать файлы, а также перехватывать вводимую с клавиатуры информацию.

Завершает отчет описание MhtRedir.S, троянца, использующего брешь, представленную в бюллетене Microsoft MS04–013, для попадания на компьютеры во время просмотра пользователем страниц с вредоносным содержимым.

После запуска MhtRedir.S соединяется с определенной веб страницей и загружает файл HELP.CHM. Этот файл содержит троянца StartPage.JL, который изменяет адрес домашней страницы Internet Explorer и опции поиска, устанавливаемые по умолчанию.

комментарии(0)

разделы: Архив