Недельный отчет о вирусах

Вебпланета

≡ Архив | архивная статья | 05.07.2004 11:53

В отчете Panda Software, посвященном событиям прошедшей недели, рассматриваются три троянца, предоставляющих удаленный доступ к компьютеру — Webber.S, Webber.P и Agent.E, два троянца — Bankhook.A и Scob.A, а также три новые версии Korgo.

Webber.S и Webber.P являются троянцами, предоставляющими удаленный доступ к компьютеру, позволяя злоумышленникам похищать конфиденциальную информацию. Эти две версии различаются лишь средствами распространения.

Webber.P распространяется путем изменения настроек веб-серверов, использующих IIS 5.0 (Internet Information Services). В результате серверы включают в себя вредоносный скрипт Java, обнаруживаемый Panda Software как Exploit/DialogArg, на содержащихся на них страницах. Этот код использует брешь в Internet Explorer, позволяющую загрузить и запустить Webber.P на компьютере без ведома пользователя.

Webber.S также распространяется при посещении пользователями определенных веб-страниц, содержащих вредоносный скрипт. Из-за наличия бреши в Internet Explorer данный скрипт способен загружать и запускать Webber.S на компьютере без ведома пользователя.

Webber.P открывает два TCP порта, для того чтобы зараженный компьютер работал в качестве прокси-сервера.

Третьим троянцем, предоставляющим удаленный доступ к компьютеру, является Agent.E, устанавливающий сам себя при посещении пользователем определенных веб-сайтов. Этот вредоносный код создает динамическую библиотеку на компьютере жертвы, которая контролирует некоторые функции Internet Explorer. Agent.E позволяет выполнять следующие действия: получать информацию из системы, доступ к файлам, принадлежащим определенным приложениям, использовать объекты коммуникаций и т.д.

Троянец Bankhook.A устанавливает себя на компьютеры пользователей, используя брешь MhtRedir, обнаруженную в Internet Explorer. Bankhook.A изменяет Реестр Windows на поражаемом компьютере для обеспечения своего запуска при каждой загрузке Internet Explorer.

Bankhook.A просматривает HTTPS трафик, генерируемый на зараженном компьютере, в поисках данных, связанных с различными онлайновыми банками. В случае успеха Bankhook.A перехватывает конфиденциальную информацию (имя пользователя, пароли, номера счетов, номера кредитных карт и т.д.) и отправляет ее на удаленный компьютер при помощи скрипта.

Второй троянец сегодняшнего отчета — Scob.A, заражающий только компьютеры с Windows XP/2000/NT, работающие как веб-серверы, если они имеют IIS 5.0 (Internet Information Services). Scob.A изменяет настройки приложений таким образом, что вредоносный код (Exploit/DialogArg) включается во все файлы, передаваемые с этих серверов.

В завершение отчета рассматриваются версии U, V и W Korgo. Все эти вредоносные коды используют брешь Windows LSASS для автоматического распространения на компьютеры через интернет. Хотя эти вредоносные коды и способны заражать все версии Windows, автоматически делать это они могут только на компьютерах с Windows XP/2000. Все эти версии Korgo соединяются с определенными веб-сайтами и пытаются загрузить с них файлы. Также они пытаются отправить на эти веб-сайты информацию о стране, в которой они заразили компьютер.

Korgo.U, Korgo.V и Korgo.W остаются резидентными в памяти компьютера. В отличие от других вредоносных кодов, использующих брешь LSASS, они не выводят на экран сообщения об ошибке или таймера обратного отсчета, а также не перезагружают компьютер.

комментарии(0)

разделы: Архив