Недельный отчет о вирусах
За прешедшую неделю в сети появились вирус Lovgate.AO и три червя - Korgo.X, Evaman. A и Bagle.AD.
Lovgate.AO – это вирус, имеющий характеристики червя и распространяющийся по электронной почте и через общие сетевые ресурсы, используя брешь переполнения буфера в интерфейсе RPC DCOM Interface. Он поражает компьютеры с Windows 2003/XP/2000/NT и заражает файлы с расширениями EXE, вставляя код в начало и конец каждого из них.
Lovgate.AO устанавливает на зараженном компьютере программу, предоставляющую возможность удаленного доступа к нему. Эта программа отслеживает случайно выбранные порты. Делается это для того, чтобы предоставить удаленный доступ к компьютеру и выполнять действия, которые могут нарушить конфиденциальность хранящихся на компьютере данных (собранная информация отсылается создателю вируса) или нарушить нормальную работу пользователей. Кроме того, если Lovgate.AO обнаруживает определенные процессы в памяти компьютера (связанные с антивирусными программами и другими червями), то он прерывает их.
Червь Korgo.X использует брешь Windows LSASS для распространения через Интернет и автоматического попадания на компьютеры. Он заражает все системы Windows, но автоматически это происходит лишь в необновленных Windows XP и 2000.
Версия ‘X’ червя Korgo остается резидентной в памяти компьютера и соединяется с несколькими IRC серверами, с которых червь может загружать файлы и запускать их на зараженном компьютере.
Следующий червь, Evaman.A, распространяется через электронную почту в сообщении, имитирующем сообщение об ошибке. Данное сообщение рассылается по всем обнаруженным на определенном веб сайте адресам. В некоторых случаях, при первом запуске Evaman.A, он открывает Блокнот.
Червь Bagle.AD распространяется по электронной почте и через программы обмена файлами P2P.
Bagle.AD открывает и прослушивает TCP порт 1234, ожидая удаленного соединения. Через это соединение он позволяет атакующему получить конфиденциальную информацию и выполнить действия, которые нарушат нормальную работу компьютера. Данная функция червя остается активной до 24 января 2005 года. Для оповещения своего автора о том, что доступен новый ПК через открытый порт, червь соединяется с веб сайтом со скриптом PHP.
Bagle.AD устраняет записи некоторых версий червя Netsky из Реестра Windows, не позволяя ему активироваться при загрузке системы.
Lovgate.AO – это вирус, имеющий характеристики червя и распространяющийся по электронной почте и через общие сетевые ресурсы, используя брешь переполнения буфера в интерфейсе RPC DCOM Interface. Он поражает компьютеры с Windows 2003/XP/2000/NT и заражает файлы с расширениями EXE, вставляя код в начало и конец каждого из них.
Lovgate.AO устанавливает на зараженном компьютере программу, предоставляющую возможность удаленного доступа к нему. Эта программа отслеживает случайно выбранные порты. Делается это для того, чтобы предоставить удаленный доступ к компьютеру и выполнять действия, которые могут нарушить конфиденциальность хранящихся на компьютере данных (собранная информация отсылается создателю вируса) или нарушить нормальную работу пользователей. Кроме того, если Lovgate.AO обнаруживает определенные процессы в памяти компьютера (связанные с антивирусными программами и другими червями), то он прерывает их.
Червь Korgo.X использует брешь Windows LSASS для распространения через Интернет и автоматического попадания на компьютеры. Он заражает все системы Windows, но автоматически это происходит лишь в необновленных Windows XP и 2000.
Версия ‘X’ червя Korgo остается резидентной в памяти компьютера и соединяется с несколькими IRC серверами, с которых червь может загружать файлы и запускать их на зараженном компьютере.
Следующий червь, Evaman.A, распространяется через электронную почту в сообщении, имитирующем сообщение об ошибке. Данное сообщение рассылается по всем обнаруженным на определенном веб сайте адресам. В некоторых случаях, при первом запуске Evaman.A, он открывает Блокнот.
Червь Bagle.AD распространяется по электронной почте и через программы обмена файлами P2P.
Bagle.AD открывает и прослушивает TCP порт 1234, ожидая удаленного соединения. Через это соединение он позволяет атакующему получить конфиденциальную информацию и выполнить действия, которые нарушат нормальную работу компьютера. Данная функция червя остается активной до 24 января 2005 года. Для оповещения своего автора о том, что доступен новый ПК через открытый порт, червь соединяется с веб сайтом со скриптом PHP.
Bagle.AD устраняет записи некоторых версий червя Netsky из Реестра Windows, не позволяя ему активироваться при загрузке системы.
