Недельный отчет о вирусах

В течение прошлой недели было обнаружено пять новых червей - Bobax.A, Bobax.B, Bobax.C, Kibuv.A и Lovgate.AF, а также троянец Ldpinch.W.

Три версии червя Bobax (A,B и C) очень схожи друг с другом. Единственным различием является размер заражающего кода. Основной характеристикой этого нового семейства является то, что, как и Sasser, они используют брешь Windows LSASS для распространения. Таким образом, они ищут компьютеры в сети, содержащие упомянутую брешь. В случае успешного обнаружения Bobax высылает инструкции уязвимому компьютеру на загрузку и запуск копии червя. После использования бреши LSASS они инициируют переполнение буфера, что приводит к перезагрузке компьютера.
Несмотря на то, что брешь LSASS присутствует только в системах Windows XP/2000, Bobax и все его версии могут также заражать и другие платформы Windows. Во втором случае черви Bobax не способны распространяться автоматически: для этого требуется запуск пользователем файла, содержащего копию червя.
После запуска черви Bobax открывают некоторые TCP порты, позволяя хакерам использовать зараженные компьютеры как почтовые SMTP серверы. Таким образом, компьютеры превращаются в зомби, рассылающие спам.

Kibuv.A – еще один имитатор Sasser. Их действия очень схожи. Он также использует для распространения брешь LSASS, перезагружая компьютер. Как и черви Bobax, Kibuv.A поражает все операционные системы Windows, но распространяется автоматически только в Windows XP/2000.

Lovgate.AF – это червь, предоставляющий возможность удаленного доступа и использующий несколько способов распространения, такие как: путем рассылки по электронной почте, через программу обмена файлами KaZaA, через общие сетевые ресурсы и т.д.
После попадания на компьютер Lovgate.AF открывает порт и отправляет удаленному пользователю электронное сообщение, уведомляющее о том, что компьютер заражен и существует возможность получить к нему доступ.

Троянец Ldpinch.W. был разослан хакерами со спамом в сообщениях с темой 'Important news about our soldiers in IRAQ!!!'("Важные новости о солдатах в Ираке!!!"). Сообщение содержит текст о конфликте в Ираке, а также содержит ссылку на веб страницу. Это сообщение содержит сжатый файл IMPORTANT INFORMATION.ZIP, содержащий файл IMPORTANT INFORMATION.SCR. При запуске этого файла Ldpinch.W устанавливается на компьютер.
Ldpinch.W похищает конфиденциальную информацию с зараженного компьютера и отправляет ее по определенному адресу. Таким образом, автор вируса может использовать эти данные во вредоносных целях.

©1997-2024 Компьютерная газета