Недельный отчет о вирусах
В течение прошедшей недели было зафиксировано появление пяти вредоносных кодов: вируса Shruggle.1318; двух червей - Sasser.G и Gaobot.AIR; а также двух троянцев - MhtRedir.S и StartPage.JL.
Shruggle.1318 не способен распространяться автоматически при помощи своих средств. Он заражает компьютеры, на которые ранее были переданы зараженные файлы. Такие файлы могут попадать на компьютеры через классические средства распространения вирусов (дискеты, электронные сообщения с вложенными файлами, файлы, полученные из Интернета, через FTP, каналы IRC и программы обмена файлами P2P).
Shruggle.1318 заражает файлы PE и DLL (Dynamic Link Library) в 64 битных операционных системах Windows для процессоров AMD.
Sasser.G распространяется через Интернет, атакуя удаленные компьютеры и используя брешь LSASS. Для этого он отправляет ICMP запросы на случайный IP адрес через порт TCP 445.
Sasser.G автоматически распространяется только на компьютерах с ОС Windows XP/2000, а работает и во всех остальных версиях ОС Windows, если файл, содержащий червя, открывается пользователем. Наконец, стоит заметить, что Sasser.G использует брешь LSASS, вызывая переполнение буфера в программе LSASS.EXE, что ведет к перезагрузке компьютера.
Gaobot.AIR - это червь, создающий лазейку на компьютере и использующий широкий ряд средств распространения, перечисленных ниже:
- Он использует бреши LSASS, RPC DCOM и WebDAV для распространения через Интернет.
- Делает свои копии на общих сетевых ресурсах, к которым удается получить доступ.
- Попадает на компьютеры с SQL Server с паролем системного администратора.
- Может попадать на компьютеры с программой DameWare Mini Remote Control, а также на компьютеры с троянцами: Optix, NetDevil, Kuang и SubSeven.
Gaobot.AIR предоставляет возможность удаленного управления зараженным им компьютером, разрешая атакующему выполнять следующие типы действий: выполнять команды, загружать и запускать файлы, а также перехватывать вводимую с клавиатуры информацию.
MhtRedir.S - троянец, использующий брешь, представленную в бюллетене Microsoft MS04-013, для попадания на компьютеры во время просмотра пользователем страниц с вредоносным содержимым.
После запуска MhtRedir.S соединяется с определенной веб страницей и загружает файл HELP.CHM. Этот файл содержит троянца StartPage.JL, который изменяет адрес домашней страницы Internet Explorer и опции поиска, устанавливаемые по умолчанию.
Shruggle.1318 не способен распространяться автоматически при помощи своих средств. Он заражает компьютеры, на которые ранее были переданы зараженные файлы. Такие файлы могут попадать на компьютеры через классические средства распространения вирусов (дискеты, электронные сообщения с вложенными файлами, файлы, полученные из Интернета, через FTP, каналы IRC и программы обмена файлами P2P).
Shruggle.1318 заражает файлы PE и DLL (Dynamic Link Library) в 64 битных операционных системах Windows для процессоров AMD.
Sasser.G распространяется через Интернет, атакуя удаленные компьютеры и используя брешь LSASS. Для этого он отправляет ICMP запросы на случайный IP адрес через порт TCP 445.
Sasser.G автоматически распространяется только на компьютерах с ОС Windows XP/2000, а работает и во всех остальных версиях ОС Windows, если файл, содержащий червя, открывается пользователем. Наконец, стоит заметить, что Sasser.G использует брешь LSASS, вызывая переполнение буфера в программе LSASS.EXE, что ведет к перезагрузке компьютера.
Gaobot.AIR - это червь, создающий лазейку на компьютере и использующий широкий ряд средств распространения, перечисленных ниже:
- Он использует бреши LSASS, RPC DCOM и WebDAV для распространения через Интернет.
- Делает свои копии на общих сетевых ресурсах, к которым удается получить доступ.
- Попадает на компьютеры с SQL Server с паролем системного администратора.
- Может попадать на компьютеры с программой DameWare Mini Remote Control, а также на компьютеры с троянцами: Optix, NetDevil, Kuang и SubSeven.
Gaobot.AIR предоставляет возможность удаленного управления зараженным им компьютером, разрешая атакующему выполнять следующие типы действий: выполнять команды, загружать и запускать файлы, а также перехватывать вводимую с клавиатуры информацию.
MhtRedir.S - троянец, использующий брешь, представленную в бюллетене Microsoft MS04-013, для попадания на компьютеры во время просмотра пользователем страниц с вредоносным содержимым.
После запуска MhtRedir.S соединяется с определенной веб страницей и загружает файл HELP.CHM. Этот файл содержит троянца StartPage.JL, который изменяет адрес домашней страницы Internet Explorer и опции поиска, устанавливаемые по умолчанию.
