Недельный отчет о вирусах от 12 сентября 2005

Вебпланета

≡ Архив | архивная статья | 12.09.2005 10:51

В отчете Panda Software на этой неделе рассмотрены червь SdBot.EXG, троянец Cimuz.X и две хакерских утилиты: GuardMon и SpyEx.

SdBot.EXG — это червь, который распространяется, эксплуатируя пять брешей безопасности: переполнение буфера в SQL Server 2000 (MS02–039); уязвимость в службе Workstation Service (MS03–049); LSASS (MS04–011); RPC-DCOM (MS04–012); и удаленное выполнение кода в Plug and Play (MS05–039) (цифры с скобках означают бюллетень Microsoft, исправляющий каждую уязвимость). Для своей отправки червь обладает собственным FTP и TFTP-сервер.

Sdbot.EXG подключается к определенным IRC-серверам, с которых получает команды, такие как: самообновление, скачивание и запуск файлов, чтение списка общих ресурсов, добавление-удаление таких ресурсов и т.д.

Cimuz.X — это троянец, при установке на компьютер выполняющий ряд действий, включая:

— открытие произвольного порта, что позволяет использовать компьютер в качестве HTTP-прокси;

— запуск PHP-скриптов с нескольких веб-адресов для информирования создателя о заражении;

— для обхода брандмауэров он внедряет свои процессы в процессы других программ, не обладающих ограничениями в интернет-доступе. Он также добавляет свои процессы в список авторизованных приложений в брандмауэре Windows XP;

— создание записей в реестре Windows, обладающих различным предназначением (для запуска при каждой загрузке Windows, определения, был ли компьютер заражен ранее и т.д.).

Cimuz.X использует несколько DLL и сторонний код. Его автор, вероятно, заново использовал компоненты других троянцев.

Следующий вредоносный код — хакерская утилита GuardMon, записывающая нажатые пользователем клавиши. Эта функция может быть использована для получения паролей или другой важной информации и представляет собой серьезную угрозу.

GuardMon создает на зараженном компьютере файл GPS.DLL, экспортирующий функцию WSPStartup. Эта функция контролирует процесс мониторинга нажатых клавиш.

Завершается отчет хакерской утилитой SpyEx, которая наблюдает за нажатыми пользователем клавишами, используемыми на компьютере приложениями и активностью в интернете. Собранная информация отсылается в виде вложения по электронной почте на определенный адрес.

комментарии(0)

разделы: Архив