Недельный отчет о вирусах от 12 декабря 2005

Вебпланета

≡ Архив | архивная статья | 12.12.2005 11:52

В отчете Panda Software рассматриваются червь Mytob.LX-, backdoor-троян Ryknos.G- и Троян -Downloader.GPH-.

Червь Mytob.LX рассылается в электронных сообщениях, сообщающих пользователям, что для продления пользования услугами определенной компании безопасности они должны посетить некую веб-страницу (якобы для подтверждения своего электронного адреса). Однако если пользователь посещает этот сайт, на его компьютер скачивается файл Confirmation_Sheet.pif, который является копией червя Mytob.LX.

После установки, червь ищет на компьютере электронные адреса (во временных файлах интернета, адресной книге и файлах с определенными расширениями), содержащие определенные текстовые строки. Затем он отсылает себя на найденные адреса, используя собственный SMTP-движок. Для связи с удаленными SMTP-серверами, Mytob.LX добавляет к почтовому домену один из следующих префиксов: gate, mail1, mail, mx, mx1, mxs, ns, relay и smtp.

Mytob.LX открывает лазейку (backdoor) для подключения к IRC-серверу, с целью получения команд управления. Червь также завершает различные процессы, при условии их активности. Некоторые из этих процессов принадлежат антивирусным решениям. Он также изменяет hosts-файл для того, чтобы запретить пользователю доступ к различным сайтам, принадлежащим антивирусным компаниям.

Вторая угроза в отчете — backdoor-Троян Ryknos.G, который, подобно всем троянам, не способен к самостоятельному распространению (распространяется через электронную почту, скачиваемые из Интернета данные, файловые передачи через FTP и пр.). Чтобы избежать обнаружения, он не запускается на компьютерах с именем «sandbox» и с именем пользователя «CurrentUser» (эти данные обычно используются на компьютерах, осуществляющих сбор и анализ вредоносного ПО).

Ryknos.G выполняет на заражаемых компьютерах различные действия, включая следующие:

— завершает процессы, принадлежащие различным брандмауэрам и антивирусам, оставляя компьютер без защиты.
— подключается к IRC-каналу #ran2 для получения удаленных команд управления.
— генерирует несколько записей в реестре Windows для обеспечения своего запуска при каждом запуске Windows.

Завершается данный отчет трояном Downloader.GPH, отображающим сообщение об ошибке при запуске. Он скачивает файл, который в свою очередь скачивает и запускает на компьютере несколько червей и еще один троян.

комментарии(0)

разделы: Архив