Недельный отчет о вирусах

В течение прошедшей недели появилось три новых троянца, предоставляющих удаленный доступ к компьютеру - Webber.S, Webber.P и Agent.E, два троянца - Bankhook.A и Scob.A, а также три новых версии Korgo.

Webber.S и Webber.P являются троянцами, предоставляющими удаленный доступ к компьютеру, позволяя злоумышленникам похищать конфиденциальную информацию. Эти две версии различаются лишь средствами распространения.
Webber.P распространяется путем изменения настроек веб серверов, использующих IIS 5.0 (Internet Information Services). В результате данные серверы включают в себя вредоносный скрипт Java, обнаруживаемый Panda Software как Exploit/DialogArg, на содержащихся на них страницах. Данный код использует брешь в Internet Explorer, позволяющую загрузить и запустить Webber.P на компьютере без ведома пользователя.
Webber.S также распространяется при посещении пользователями определенных веб страниц, содержащих вредоносный скрипт. Из-за наличия бреши в Internet Explorer данный скрипт способен загружать и запускать Webber.S на компьютере без ведома пользователя.
Webber.P открывает два TCP порта, для того чтобы зараженный компьютер работал в качестве прокси сервера.
Третьим троянцем, предоставляющим удаленный доступ к компьютеру, является Agent.E, устанавливающий сам себя при посещении пользователем определенных веб сайтов. Этот вредоносный код создает динамическую библиотеку на компьютере жертвы, которая контролирует некоторые функции Internet Explorer. Agent.E позволяет выполнять следующие действия: получать информацию из системы, доступ к файлам, принадлежащим определенным приложениям, использовать объекты коммуникаций и т.д.

Троянец Bankhook.A устанавливает себя на компьютеры пользователей, используя брешь MhtRedir, обнаруженную в Internet Explorer. Bankhook.A изменяет Реестр Windows на поражаемом компьютере для обеспечения своего запуска при каждой загрузке Internet Explorer.
Bankhook.A просматривает HTTPS трафик, генерируемый на зараженном компьютере, в поисках данных, связанных с различными онлайновыми банками. В случае успеха Bankhook.A перехватывает конфиденциальную информацию (имя пользователя, пароли, номера счетов, номера кредитных карт и т.д.) и отправляет ее на удаленный компьютер при помощи скрипта.

Второй троянец - Scob.A - заражает только компьютеры с Windows XP/2000/NT, работающие как веб серверы, если они имеют IIS 5.0 (Internet Information Services). Scob.A изменяет настройки приложений таким образом, что вредоносный код (Exploit/DialogArg) включается во все файлы, передаваемые с этих серверов.

Версии U, V и W Korgo используют брешь Windows LSASS для автоматического распространения на компьютеры через Интернет. Хотя эти вредоносные коды и способны заражать все версии Windows, автоматически делать это они могут только на компьютерах с Windows XP/2000. Все эти версии Korgo соединяются с определенными веб сайтами и пытаются загрузить с них файлы. Также они пытаются отправить на эти веб сайты информацию о стране, в которой они заразили компьютер.
Korgo.U, Korgo.V и Korgo.W остаются резидентными в памяти компьютера. В отличие от других вредоносных кодов, использующих брешь LSASS, они не выводят на экран сообщения об ошибке или таймера обратного отсчета, а также не перезагружают компьютер.

©1997-2024 Компьютерная газета