Недельный отчет о вирусах от 24 октября 2005

Вебпланета

≡ Архив | архивная статья | 24.10.2005 10:54

В отчете компании Panda Software будут рассмотрены четыре хакерских утилиты: Application/WeatherBug, AKeyLogger, ActiKeyLogger и SvrAny.A и два червя: Mytob.KN и Sdbot.FJA.

Application/WeatherBug — это программа, показывающая в системном лотке погоду и температуру выбранного района, а также прогноз погоды на несколько дней вперед и рекламу. Application/WeatherBug устанавливает панель инструментов, названную Application/Myway, создает записи в реестр Windows и создает несколько файлов.

AKeyLogger и ActiKeyLogger — это два приложения, выполняющие ряд действий на зараженном компьютере, включая следующие:

— запись нажатий клавиш, что позволяет им использоваться для получения паролей и другой конфиденциальной информации, которая затем отправляется по электронной почте;

— запуск в скрытом режиме. При этом их не видно после установки. Если они запущены в видимом режиме, в системном лотке отображается иконка;

— они остаются резидентными в памяти;

— они могут быть настроены на запуск при каждой загрузке Windows;

— они создают несколько файлов в подпапке директории Program Files;

Четвертая хакерская утилита, рассматриваемая сегодня, SvrAny.A, способна управлять службами из командной строки. Ее действия включают запуск исполняемых файлов как служб, а также запуск, блокирование, создание и удаление служб.

Первый червь в сегодняшнем отчете — Mytob.KN, распространяющийся по электронной почте в варьирующемся сообщении. После установки он подключается к IRC-серверу и ожидает команд удаленного контроля.

Mytob.KN завершает процессы, принадлежащие различным утилитам безопасности, таким как антивирусные программы и брандмауэры, а также процессы других вредоносных программ. Он также запрещает доступ к определенным веб-страницам, в основном принадлежащим антивирусным компаниям. На компьютерах с Windows XP Service Pack 2 он отключает брандмауэр, встроенный в эту операционную систему.

Мы завершаем сегодняшний отчет червем Sdbot.FJA, эксплуатирующим уязвимости LSASS, RPC DCOM, Workstation Service и Plug and Play для распространения через интернет.

Sdbot.FJA подключается к нескольким IRC-серверам для получения команд удаленного контроля. Он может скачивать и запускать файлы, получать пароли Outlook и Internet Explorer, хранимые в защищенном хранилище, запускать и останавливать службы Windows, и т.д.

комментарии(0)

разделы: Архив