Недельный отчет о вирусах от 7 ноября 2005

Вебпланета

≡ Архив | архивная статья | 08.11.2005 12:22

В отчете рассматриваются четыре версии троянца Mitglieder (FK, FL, FN и FM), массово распространявшиеся по электронной почте в течение этой недели и вызвавшие массовые заражения компьютеров во многих странах мира, а также червь Bagle.FN.

По данным Panda ActiveScan, четыре упомянутые выше версии Mitglieder стали наиболее часто обнаруживаемыми угрозами по всему миру. Первая появившаяся версия -FK- распространяется в электронных письмах с пустым заголовком и текстом, содержащим слова «Texte» или «Info». Сообщение содержит вложенный файл с расширением .zip (Например: Health_and_knowledge, Sms_txt, Max, Business, The_new_price, Info_prices или Business_dealing). Архив содержит .EXE файл, который при запуске устанавливает на компьютер Mitglieder.FK.

Версии Mitglieder FK, FL и FN обладают следующими общими особенностями:

1. После установки на компьютер, они пытаются, скачать файл с различных веб-страниц, используя PHP-скрипт. После скачивания, они сохраняют его — используя в качестве имени файла љпроизвольную цифру — в подпапке EXEFLD директории Windows, а затем запускают его.

2. Затем троянец создает файл HLOADER_EXE.EXE — это копия самого троянца, который в свою очередь генерирует файл HLEADER_DLL.DLL при следующем запуске компьютера. Он внедряется в процесс EXPLORER.EXE и отвечает за выполнение действий троянца.

На компьютерах, зараженных Mitglieder FM, блокируется доступ к определенным веб-страницам, в частности, принадлежащим антивирусным компаниям; отключаются системные службы, относящиеся к нескольким антивирусам и продуктам безопасности; удаляются утилиты редактирования реестра Windows.

Bagle.FN — червь, который отправляет копию троянца Mitglieder.FK на все адреса, собранные на зараженном компьютере.

Bagle.FN распространяется в электронном сообщении, которое пытается обманом заставить пользователей поверить в то, что вложенный файл является программой, изображением и т.д. Он также распространяется через интернет, атакуя IP-адреса (которые получает произвольным методом или из сети зараженного компьютера) путем эксплуатации бреши в безопасности или через открытый порт.

Bagle.FN пытается скачать с различных сайтов несколько файлов для их последующего запуска на компьютере и удаляет из реестра Windows записи, принадлежащие другим образчикам вредоносного ПО.

комментарии(0)

разделы: Архив