|
РАЗДЕЛЫ
Архив
|
Недельный отчет о вирусахВебпланета ≡ Архив | архивная статья | 12.07.2004 12:31 В отчете Panda Software, посвященном событиям прошедшей недели, рассматриваются вирус Lovgate.AO и три червя — Korgo.X, Evaman. A и Bagle.AD. Lovgate.AO — это вирус, имеющий характеристики червя и распространяющийся по электронной почте и через общие сетевые ресурсы, используя брешь переполнения буфера в интерфейсе RPC DCOM Interface. Он поражает компьютеры с Windows 2003/XP/2000/NT и заражает файлы с расширениями EXE, вставляя код в начало и конец каждого из них. Lovgate.AO устанавливает на зараженном компьютере программу, предоставляющую возможность удаленного доступа к нему. Эта программа отслеживает случайно выбранные порты. Делается это для того, чтобы предоставить удаленный доступ к компьютеру и выполнять действия, которые могут нарушить конфиденциальность хранящихся на компьютере данных (собранная информация отсылается создателю вируса) или нарушить нормальную работу пользователей. Кроме того, если Lovgate.AO обнаруживает определенные процессы в памяти компьютера (связанные с антивирусными программами и другими червями), то он прерывает их. Первым настоящим червем, рассматриваемым нами в отчете, является Korgo.X, который использует брешь Windows LSASS для распространения через интернет и автоматического попадания на компьютеры. Он заражает все системы Windows, но автоматически это происходит лишь в необновленных Windows XP и 2000. Версия "X" червя Korgo остается резидентной в памяти компьютера и соединяется с несколькими IRC серверами, с которых червь может загружать файлы и запускать их на зараженном компьютере. Следующий червь, Evaman.A, распространяется через электронную почту в сообщении, имитирующем сообщение об ошибке. Данное сообщение рассылается по всем обнаруженным на определенном веб сайте адресам. В некоторых случаях, при первом запуске Evaman.A, он открывает «Блокнот». Завершает отчет описание Bagle.AD, червя, распространяющегося по электронной почте и через программы обмена файлами P2P. Bagle.AD открывает и прослушивает TCP порт 1234, ожидая удаленного соединения. Через это соединение он позволяет атакующему получить конфиденциальную информацию и выполнить действия, которые нарушат нормальную работу компьютера. Данная функция червя остается активной до 24 января 2005 года. Для оповещения своего автора о том, что доступен новый ПК через открытый порт, червь соединяется с веб сайтом со скриптом PHP. Bagle.AD устраняет записи некоторых версий червя Netsky из Реестра Windows, не позволяя ему активироваться при загрузке системы. комментарии(0) разделы: Архив Материалы по теме
Другие |
Последние комментарии
Гость про Суд велел "Твиттеру" сдать сторонников WikiLeaks (12)
Гость про Книгоиздатели начали судиться с торрентами (2)
l_e_x_a про "ВКонтакте" принудительно протестирует пользователей (35)
andrey_kadetov про Google назвал Facebook "ловушкой без выхода" (6)
volv про День папуасского робошахтёра (14)
l_e_x_a про Русские кликботы признаны самыми активными (11)
все комментарии looli спрашивает: Земля вампиров смотреть онлайн в HD качестве looli спрашивает: Зеленый Фонарь смотреть онлайн в HD качестве looli спрашивает: Защитник смотреть онлайн в HD качестве looli спрашивает: Запретная зона смотреть онлайн в HD качестве looli спрашивает: Закон доблести смотреть онлайн в HD качестве looli спрашивает: Вышибала смотреть онлайн в HD качестве looli спрашивает: Встречный ветер смотреть онлайн в HD качестве looli спрашивает: Все любят китов смотреть онлайн в HD качестве |
Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.
версия для печати