Недельный отчет о вирусах
За прошедшую неделю наибольшая активность была замечена со стороны пяти червей - Sasser.F, Cycle.A, Bagle.AC, Sober.G и Wallon.A.
Sasser.F распространяется через Интернет, используя брешь LSASS. На заражаемых компьютерах червь вызывает переполнение буфера в программе LSASS.EXE, перезагружая компьютер и выводя сообщение на экран. Как и предшествующие версии Sasser, версия F автоматически распространяется через компьютеры, работающие под управлением Windows XP/2000. Он также активен и в других операционных системах, если зараженный файл запускает сам пользователь.
Как и вышеупомянутый вредоносный код, Cycle.A также распространяется через Интернет, используя брешь LSASS, и приводит к перезагрузке пораженных компьютеров. Кроме того, он также завершает процессы червей Blaster, Sasser.A, Sasser.B, Sasser.C и Sasser.D, а также инициирует отказы от обслуживания на некоторых веб сайтах в любое время, кроме периода с 1 по 18 мая.
Третьим червем нашего отчета является Bagle.AC, завершающий процессы некоторых приложений ИТ безопасности, таких как антивирусы и межсетевые экраны, а также некоторых червей. Он также пытается через порт 14441 соединяться с различными веб сайтами, поддерживающими скрипты PHP для того, чтобы уведомить автора вируса о заражении компьютера.
Sober.G – это червь, распространяющийся по электронной почте. Содержащее его сообщение может быть на английском или немецком языке, в зависимости от домена адреса пользователя. Червь ищет электронные адреса в файлах с определенными расширениями на зараженных компьютерах и отправляет свои копии по обнаруженным адресам при помощи собственного SMTP механизма.
Пятым червем является Wallon.A, устанавливающий себя на компьютеры путем использования бреши Exploit/MIE.CHM. Для этого он использует следующий порядок распространения: пользователь получает электронное сообщение, содержащее ссылку на определенный веб сайт. При открытии данной страницы Wallon.A загружается на компьютер.
Wallon.A собирает все адреса из Адресной Книги Windows Address и высылает их на определенный адрес. Кроме того, червь также изменяет адрес домашней страницы в Internet Explorer и, если в Адресной Книге Windows не содержится ни одного адреса, он выводит на экран сообщение об ошибке.
Qhost.gen - механизм поиска для HOSTS файлов - измененный некоторыми вредоносными программами, включая версии червя Gaobot. Данный файл содержит ряд строк, используемых Windows для перевода имен в IP адреса (до служб WINS и DNS).
HOSTS файлы изменяются этой вредоносной программой таким образом, что ряд веб адресов ассоциируется с IP адресом 127.0.0.1, делая адреса, входящие в данный список, недоступными. Веб страницы, входящие в список, обычно принадлежат производителям антивирусного и защитного ПО. По этой причине пользователям компьютеров, зараженных Qhost.gen, не удается получить информацию, обновить программы и т.д.
Sasser.F распространяется через Интернет, используя брешь LSASS. На заражаемых компьютерах червь вызывает переполнение буфера в программе LSASS.EXE, перезагружая компьютер и выводя сообщение на экран. Как и предшествующие версии Sasser, версия F автоматически распространяется через компьютеры, работающие под управлением Windows XP/2000. Он также активен и в других операционных системах, если зараженный файл запускает сам пользователь.
Как и вышеупомянутый вредоносный код, Cycle.A также распространяется через Интернет, используя брешь LSASS, и приводит к перезагрузке пораженных компьютеров. Кроме того, он также завершает процессы червей Blaster, Sasser.A, Sasser.B, Sasser.C и Sasser.D, а также инициирует отказы от обслуживания на некоторых веб сайтах в любое время, кроме периода с 1 по 18 мая.
Третьим червем нашего отчета является Bagle.AC, завершающий процессы некоторых приложений ИТ безопасности, таких как антивирусы и межсетевые экраны, а также некоторых червей. Он также пытается через порт 14441 соединяться с различными веб сайтами, поддерживающими скрипты PHP для того, чтобы уведомить автора вируса о заражении компьютера.
Sober.G – это червь, распространяющийся по электронной почте. Содержащее его сообщение может быть на английском или немецком языке, в зависимости от домена адреса пользователя. Червь ищет электронные адреса в файлах с определенными расширениями на зараженных компьютерах и отправляет свои копии по обнаруженным адресам при помощи собственного SMTP механизма.
Пятым червем является Wallon.A, устанавливающий себя на компьютеры путем использования бреши Exploit/MIE.CHM. Для этого он использует следующий порядок распространения: пользователь получает электронное сообщение, содержащее ссылку на определенный веб сайт. При открытии данной страницы Wallon.A загружается на компьютер.
Wallon.A собирает все адреса из Адресной Книги Windows Address и высылает их на определенный адрес. Кроме того, червь также изменяет адрес домашней страницы в Internet Explorer и, если в Адресной Книге Windows не содержится ни одного адреса, он выводит на экран сообщение об ошибке.
Qhost.gen - механизм поиска для HOSTS файлов - измененный некоторыми вредоносными программами, включая версии червя Gaobot. Данный файл содержит ряд строк, используемых Windows для перевода имен в IP адреса (до служб WINS и DNS).
HOSTS файлы изменяются этой вредоносной программой таким образом, что ряд веб адресов ассоциируется с IP адресом 127.0.0.1, делая адреса, входящие в данный список, недоступными. Веб страницы, входящие в список, обычно принадлежат производителям антивирусного и защитного ПО. По этой причине пользователям компьютеров, зараженных Qhost.gen, не удается получить информацию, обновить программы и т.д.
