Недельный отчет о вирусах

Вебпланета

≡ Архив | архивная статья | 05.04.2004 12:34

В отчете, посвященном событиям прошедшей недели, описаны пять червей, распространяющихся по электронной почте — версии R и Q Netsky, V и U Bagle и E Sober, а также троянец Seeker.O, сообщает пресс-релиз Panda Software.

Netsky.R и Netsky.Q выполняют следующие действия: удаляют из Реестра записи, принадлежащие некоторым червям, таким как Mydoom.A, Mydoom.B, Mimail.T и некоторым версиям Bagle; пытаются инициировать отказы от обслуживания (DoS) на некоторых веб-сайтах.

Netsky.Q активируется автоматически при просмотре сообщения, содержащего его в окне быстрого просмотра Outlook. Он делает это путем использования бреши Exploit/Iframe, присутствующей в версиях 5.01 и 5.5 Internet Explorer и позволяющей автоматически запускать вложенные файлы. Netsky.Q эмитирует различные звуки в период с 5:00 до 10:59 часов утра 30 марта 2004.

Bagle.V и Bagle.U распространяются в электронных сообщениях, опознать которые достаточно просто, так как тема и текст сообщения пусты, а расширение вложенного файла, несмотря на то, что его имя изменяется, — всегда EXE. Кроме того, эти версии функционируют только до 1 января 2005 года.

После запуска файлов, содержащих версии V и U Bagle, они открывают порт TCP 4751. Через него они пытаются соединиться с веб-страницей для получения данных на зараженный компьютер. Таким образом автор вируса получает доступ к системе.

Помимо схожих характеристик у этих червей есть и различия: значок вложенного файла, содержащего Bagle.V представляет собой изображение шприца, а Bagle.U — часы; Bagle.U запускает игру «Windows Червы», если она установлена на зараженном компьютере.

Пятым червем сегодняшнего отчета является Sober.E, загружающий файл из интернета, если системная дата имеет значение до 24 марта 2004. Кроме того, он пытается соединиться с некоторыми NTP серверами для того, чтобы проверить текущую дату. Опознать червя достаточно просто, так как при запуске он открывает Windows Paint или выводит на экран следующий текст: «Graphic Modul not found».

Завершается отчет описанием Seeker.O, троянца, находящегося в памяти компьютера. Раз в час троянец пытается открыть различные рекламные веб-страницы, некоторые из которых пытаются загрузить на компьютер и установить шпионские и рекламные программы.

комментарии(0)

разделы: Архив