Недельный отчет о вирусах

В течение прошедшей недели появилось шесть новых версий Korgo, троянец Downloader.JH и утилита скрытого управления IPScanner.A.

Как и предшественники, шесть версий Korgo - T, S, R, Q, P, O и N, используют брешь Windows LSASS для автоматического распространения через Интернет. Несмотря на то, что поражают эти вредоносные программы все платформы Windows, автоматически распространяться они могут только в Windows XP/2000.
Версии Korgo S, R, Q, P и O соединяются с некоторыми веб сайтами и пытаются загрузить с них файлы. Кроме того, они отправляют на эти веб сайты информацию о стране, в которой расположен зараженный компьютер. Korgo.T открывает порт 3067 и просматривает его, ожидая файла для запуска на зараженном компьютере. Кроме того, он пытается соединиться с некоторыми IRC серверами для предоставления возможности выполнения удаленных команд.
Для того чтобы остаться незамеченными, в отличие от других вредоносных программ, использующих брешь LSASS для заражения компьютеров, эти версии Korgo не выводят никаких сообщений и не перезагружают компьютер.

Троянец Downloader.JH получает информацию на зараженном компьютере и загружает на него дозвонщика. Кроме того, он также создает следующие файлы на поражаемом компьютере: D1K.EXE, OLE32WS.DLL и CAX.CAB.
Опознать Downloader.JH достаточно сложно, так как он не выводит никаких сообщений или предупреждений, свидетельствующих об его присутствии. Троянец не распространяется автоматически, используя свои собственные средства. Ему требуется вмешательство атакующего для попадания на компьютеры через различные средства (дискеты, компакт-диски, электронные сообщения с зараженными вложениями, файлы, полученные из сети Интернет, FTP, каналы IRC, сети обмена файлами P2P и т.д.).

IPScanner.A - средство, предназначенного для отслеживания компьютеров в сетях Microsoft. IPScanner.A не выводит никаких сообщений или предупреждений, выдающих его присутствие на зараженном компьютере.

©1997-2024 Компьютерная газета