Недельный отчет о вирусах

Вебпланета

≡ Архив | архивная статья | 28.06.2004 12:50

В отчете Panda Software, посвященном событиям прошедшей недели, рассматриваются шесть версий Korgo, троянец Downloader.JH и утилита скрытого управления IPScanner.A.

Как и предшественники, шесть версий Korgo — T, S, R, Q, P, O и N — используют брешь Windows LSASS для автоматического распространения через интернет. Несмотря на то, что поражают эти вредоносные программы все платформы Windows, автоматически распространяться они могут только в Windows XP/2000.

Версии Korgo S, R, Q, P и O соединяются с некоторыми веб-сайтами и пытаются загрузить с них файлы. Кроме того, они отправляют на эти веб-сайты информацию о стране, в которой расположен зараженный компьютер. Korgo.T открывает порт 3067 и просматривает его, ожидая файла для запуска на зараженном компьютере. Кроме того, он пытается соединиться с некоторыми IRC серверами для предоставления возможности выполнения удаленных команд.

Для того чтобы остаться незамеченными, в отличие от других вредоносных программ, использующих брешь LSASS для заражения компьютеров, эти версии Korgo не выводят никаких сообщений и не перезагружают компьютер.

Троянцем сегодняшнего отчета является Downloader.JH, получающий информацию на зараженном компьютере и загружающий на него дозвонщика. Кроме того, он также создает следующие файлы на поражаемом компьютере: D1K.EXE, OLE32WS.DLL и CAX.CAB.

Опознать Downloader.JH достаточно сложно, так как он не выводит никаких сообщений или предупреждений, свидетельствующих об его присутствии. Троянец не распространяется автоматически, используя свои собственные средства. Ему требуется вмешательство атакующего для попадания на компьютеры через различные средства (дискеты, компакт-диски, электронные сообщения с зараженными вложениями, файлы, полученные из интернета, FTP, каналы IRC, сети обмена файлами P2P и т.д.).

Завершается отчет описанием IPScanner.A, средства, предназначенного для отслеживания компьютеров в сетях Microsoft. IPScanner.A не выводит никаких сообщений или предупреждений, выдающих его присутствие на зараженном компьютере.

комментарии(0)

разделы: Архив