 |
12.07.2004 11:40 |
| |
Недельный отчет о вирусах |
 |
В отчете Panda Software, посвященном событиям прошедшей недели, рассматриваются вирус Lovgate.AO и три червя — Korgo.X, Evaman. A и Bagle.AD.
Lovgate.AO — это вирус, имеющий характеристики червя и распространяющийся по электронной почте и через общие сетевые ресурсы, используя брешь переполнения буфера в интерфейсе RPC DCOM Interface. Он поражает компьютеры с Windows 2003/XP/2000/NT и заражает файлы с расширениями EXE, вставляя код в начало и конец каждого из них.
Lovgate.AO устанавливает на зараженном компьютере программу, предоставляющую возможность удаленного доступа к нему. Эта программа отслеживает случайно выбранные порты. Делается это для того, чтобы предоставить удаленный доступ к компьютеру и выполнять действия, которые могут нарушить конфиденциальность хранящихся на компьютере данных (собранная информация отсылается создателю вируса) или нарушить нормальную работу пользователей. Кроме того, если Lovgate.AO обнаруживает определенные процессы в памяти компьютера (связанные с антивирусными программами и другими червями), то он прерывает их.
Первым настоящим червем, рассматриваемым нами в отчете, является Korgo.X, который использует брешь Windows LSASS для распространения через интернет и автоматического попадания на компьютеры. Он заражает все системы Windows, но автоматически это происходит лишь в необновленных Windows XP и 2000.
Версия X червя Korgo остается резидентной в памяти компьютера и соединяется с несколькими IRC серверами, с которых червь может загружать файлы и запускать их на зараженном компьютере.
Следующий червь, Evaman.A, распространяется через электронную почту в сообщении, имитирующем сообщение об ошибке. Данное сообщение рассылается по всем обнаруженным на определенном веб сайте адресам. В некоторых случаях, при первом запуске Evaman.A, он открывает «Блокнот».
Завершает отчет описание Bagle.AD, червя, распространяющегося по электронной почте и через программы обмена файлами P2P.
Bagle.AD открывает и прослушивает TCP порт 1234, ожидая удаленного соединения. Через это соединение он позволяет атакующему получить конфиденциальную информацию и выполнить действия, которые нарушат нормальную работу компьютера. Данная функция червя остается активной до 24 января 2005 года. Для оповещения своего автора о том, что доступен новый ПК через открытый порт, червь соединяется с веб сайтом со скриптом PHP.
Bagle.AD устраняет записи некоторых версий червя Netsky из Реестра Windows, не позволяя ему активироваться при загрузке системы.
|
|
|
Навигация по порталу: 
