Недельный отчет о вирусах от 26 сентября 2005

Вебпланета

≡ Архив | архивная статья | 26.09.2005 12:05

На этой неделе в отчете Panda Software рассматриваются три вредоносных кода: червь Mepe.A и два троянца: Mitglieder.EW и Mitglieder.FB.

Mepe.A — это червь, вызвавший значительное количество заражений c 20 по 21 сентября, особенно в Латинской Америке, и на несколько часов возглавивший рейтинг инфекций. Для распространения этот червь ищет открытые окна (обычно в приложениях обмена мгновенными сообщениями) с заголовком «Conversación». Если у зараженного пользователя открыто такое окно, червь отправляет приглашение на испанском языке со ссылкой на сайт, откуда якобы можно скачать открытку.

Но в действительности скачивается сам вирус, при запуске отображающий ложное сообщение об ошибке, при этом продолжая свои действия. Уровень инцидентов с этим вирусом значительно снизился в течение последних часов, поскольку провайдер сервера, на котором был размещен червь, отключил его, получив уведомление от антивирусной лаборатории PandaLabs.

Другие два вредоносных кода — Mitglieder.EW и Mitglieder.FB — обладают схожей структурой и несут ответственность за многочисленные инциденты последних дней, являясь частью массовой рассылки кодов Bagle и Mitglieder по электронной почте. Основной целью обоих кодов является отключение решений безопасности на компьютерах пользователей, что делает их уязвимыми к дальнейшим атакам.

Mitglieder.EW — троянец, и как таковой не обладает способностью к самостоятельному распространению. Он может распространяться вручную, в симбиозе с червями Bagle (частый прецедент между этими видами), а также через бот-сети. При проникновении на компьютер, этот троянец блокирует процессы обновлений нескольких антивирусных программ, а также службы антивирусов, брандмауэров и т.д.

Чтобы гарантировать, что эти программы не будут запущены, он удаляет из реестра Windows их конфигурационные записи. И, как обычно в случае с Mitglieder, он пытается скачать с различных сайтов файл OSA6.GIF, который выдает себя за изображение, но в действительности является исполняемым файлом. Этот файл является вредоносным кодом из семейства Fantibag.

Mitglieder.FB действует таким же образом, как предыдущий код, используя те же адреса для скачивания OSA6.GIF, а также завершая процессы и удаляя ряд файлов с жесткого диска компьютера, в основном относящихся к ИТ-безопасности. В случае с этим кодом, скачиваемый файл содержит версию троянца Downloader.

комментарии(0)

разделы: Архив