Недельный отчет о вирусах
Maslam.A и Maslam.B заражают компьютеры под управлением Windows 95/98/ME/NT/2000/XP, используя брешь LSASS. Они рассылаются по электронной почте, используя собственный SMTP механизм. Оба червя обладают следующими характеристиками:
- Они ведут наблюдение за открытыми окнами Internet Explorer, ища наличие следующих строк: evocash, e-bullion, e-gold, mail, bank, trade или paypal. При нахождении строки, они записывают всю информацию, вводимую пользователем и отправляемую на веб-сайт.
- Они ищут файлы с расширениями rar, zip, pif или exe, в путях которых присутствует следующий текст: distr, download, setup или share, и затем заменяют эти файлы своими копиями.
- При своем запуске они выводят на экран сообщение об ошибке.
Главная разница между версиями A и B вируса Maslam - это имя файла, прикрепленного к сообщению, в котором распространяется вирус, а также текст в заголовке сообщения.
Другие два червя - это варианты D и E червя Atak, который распространяется по электронной почте в сообщении с варьирующимися характеристиками. Эти сообщения содержат прикрепленный файл с расширением bat, com, exe, pif или scr. Иногда файл запакован в виде zip-архива. Оба червя также подменяют адрес отправителя, чтобы ввести получателя в заблуждение.
Atak.D и Atak.E обладают следующими характеристиками:
- Используют собственный SMTP механизм для рассылки своих копий по адресам, полученным на зараженном компьютере.
- Создают копию червя в системной директории Windows - в случае с Atak.D это файл A1G.EXE, а с Atak.E - DAPDLL.EXE.
- Редактируют системный реестр с целью обеспечения своего запуска при каждом входе в систему.
Основные отличия Atak.D и Atak.E:
- Размер Atak.D, упакованного в формате FSG, равен 12037 байт, в то время как размер варианта E равен 11189 байт.
- Мьютекс, создаваемый ими для обеспечения одновременной работы лишь одной копии червя, различен для каждого варианта.
- Они ведут наблюдение за открытыми окнами Internet Explorer, ища наличие следующих строк: evocash, e-bullion, e-gold, mail, bank, trade или paypal. При нахождении строки, они записывают всю информацию, вводимую пользователем и отправляемую на веб-сайт.
- Они ищут файлы с расширениями rar, zip, pif или exe, в путях которых присутствует следующий текст: distr, download, setup или share, и затем заменяют эти файлы своими копиями.
- При своем запуске они выводят на экран сообщение об ошибке.
Главная разница между версиями A и B вируса Maslam - это имя файла, прикрепленного к сообщению, в котором распространяется вирус, а также текст в заголовке сообщения.
Другие два червя - это варианты D и E червя Atak, который распространяется по электронной почте в сообщении с варьирующимися характеристиками. Эти сообщения содержат прикрепленный файл с расширением bat, com, exe, pif или scr. Иногда файл запакован в виде zip-архива. Оба червя также подменяют адрес отправителя, чтобы ввести получателя в заблуждение.
Atak.D и Atak.E обладают следующими характеристиками:
- Используют собственный SMTP механизм для рассылки своих копий по адресам, полученным на зараженном компьютере.
- Создают копию червя в системной директории Windows - в случае с Atak.D это файл A1G.EXE, а с Atak.E - DAPDLL.EXE.
- Редактируют системный реестр с целью обеспечения своего запуска при каждом входе в систему.
Основные отличия Atak.D и Atak.E:
- Размер Atak.D, упакованного в формате FSG, равен 12037 байт, в то время как размер варианта E равен 11189 байт.
- Мьютекс, создаваемый ими для обеспечения одновременной работы лишь одной копии червя, различен для каждого варианта.
