Недельный отчет о вирусах от 10 октября 2005

Вебпланета

≡ Архив | архивная статья | 10.10.2005 18:30

На этой неделе в отчете Panda Software рассмотрены три угрозы: троянцы Banker.AXW и Format.A, а также почтовый червь Sober.Y.

Format.A — это троянец, выдающий себя за утилиту, разработанную для запуска неподписанного кода в консоли PSP (PlayStation Portable). Однако при запуске он удаляет ключевые для функционирования консоли файлы, в результате чего она не сможет запуститься. Для распространения Format.A описывает себя как приложение для изменения с помощью эксплойта версии BIOS PSP-консолей на более старую версию, чтобы запускать пиратские игры.

Banker.AXW — это троянец, осуществляющий мониторинг окон с заголовками, содержащими определенные текстовые строки, в основном относящиеся к банкам. Далее он записывает нажимаемые в этих окнах клавиши для получения паролей и прочей важной информации. Этот троянец использует несколько PHP-скриптов для отправки собранной информации. Как и большинство троянцев, Banker.AXW не способен распространяться самостоятельно. Ему требуется участие злоумышленника для проникновения на компьютер. Способы его распространения включают, среди прочих, дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы и т.д.

И, наконец, Sober.Y — это новый представитель данного семейства червей, который, как и его предшественники, способен к быстрому распространению по электронной почте. Всего через несколько часов после его появления PandaLabs начала регистрировать инциденты с его участием по всему миру.

Для распространения этот червь использует два вида писем: первое — письмо на английском языке с темой «Your new password» («Ваш новый пароль»), которое пытается заставить пользователей поверить в то, что это уведомление об изменении пароля, предлагающее для ознакомления данные во вложенном файле — pword_change.zip. Второе — письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией червя.

Если этот файл запущен, выводится ложное сообщение об ошибке CRC, при этом вредоносные действия продолжаются. Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями, и рассылает себя по ним, используя собственный SMTP-механизм. Если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), червь отправляет немецкую версию письма.

комментарии(0)

разделы: Архив