Недельный отчет о вирусах от 26 июля 2004

Вебпланета

≡ Архив | архивная статья | 26.07.2004 14:28

В сегодняшнем отчете Panda Software, посвященном событиям прошедшей недели, рассматриваются четыре червя: версии AG и AH червя Bagle, Mydoom.M и Lovgate.AQ.

Bagle.AG и Bagle.AH — два достаточно похожих червя, оказывающих влияние на компьютеры с системами Windows XP, 2000 или NT. Оба вредоносных кода распространяются в сообщениях электронной почты с меняющимися характеристиками. Для этого они собирают адреса электронной почты и отправляют свои копии по ним.

После установки на компьютер, два новых варианта червя Bagle открывают и прослушивают TCP-порт, ожидая удаленного подключения. Это означает, что злоумышленник может получить доступ на компьютер и совершить на нем действия, угрожающие конфиденциальности данных и нарушающие нормальное использование компьютера.

Одной из наиболее опасных возможностей обоих червей является способность завершать работу процессов, принадлежащих антивирусным и защитным программам, после чего компьютер становится беззащитным перед любыми другими атаками.

Bagle.AG и Bagle.AH подключаются к определенным веб-страницам, содержащим PHP-скрипт, с помощью которого, например, они могут отправлять данные, похищенные с зараженных компьютеров. Кроме этого, они удаляют записи в реестре Windows, создаваемые различными червями семейства Netsky.

Mydoom.M — червь, который распространяется по электронной почте в сообщениях с переменными характеристиками, а также через программы обмена файлами P2P.

После проникновения в систему Mydoom.M устанавливает библиотеку DLL, которая открывает TCP-порт 1042, создавая тем самым лазейку, через которую злоумышленник может получить доступ на компьютер. Данная библиотека DLL завершает процессы, относящиеся к антивирусным программам и инструментам наблюдения.

И, наконец, Lovgate.AQ — червь, который открывает лазейку на компьютер. Использует несколько способов распространения: электронную почту, программу обмена файлами Kazaa, сетевые ресурсы общего пользования, и т.д.

Lovgate.AQ открывает на компьютере порт обмена данными. Затем он отправляет сообщение удаленному пользователю, информируя о том, что целевой компьютер заражен и на него открыт доступ через порт. Червь также использует метод «грубой силы» (перебора) для получения пароля доступа администратора на компьютер. Кроме того, Lovgate.AQ пытается завершить процессы, принадлежащие другим червям.

комментарии(0)

разделы: Архив