Недельный отчет о вирусах

В данном отчете рассматриваются три червя: Bropia.A, Zar.A , Mydoom.AE и файл Gaobot.batch

Bropia.A распространяется через MSN Messenger. Он осуществляет это, включая поиск класса приложения 'IMWindowClass', и если находит его, рассылает себя с одним из следующих имен: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif и love_me.pif.
После запуска Bropia.A ищет в %systemdir% файлы со следующими именами: adaware.exe, VB6.EXE, lexplore.exe и Win32.exe. Если их не существует, он создает файл, содержащий копию версии Gaobot. Bropia.A генерирует несколько пустых файлов в пути %systemdir% и открывает их для предотвращения запуска процессов taskmgr.exe и cmd.exe. Также Bropia.A отключает комбинацию клавиш CTRL+ALT+Del и может отключать использование правой кнопки мыши.

Zar.A распространяется по электронной почте в сообщении на тему цунами, произошедшего в Азии в декабре 2004. Заголовок и текст сообщения апеллируют к помощи жертвам, а вложение называется TSUNAMI.EXE. После запуска файла компьютер заражается Zar.A, который, используя MAPI, посылает свои копии по всем адресам в адресной книге Outlook.
Zar.A создает три файла и генерирует запись в реестре Windows для обеспечения своего запуска при каждой загрузке компьютера. Червь также пытается произвести DoS-атаки (Denial of Service) против веб-сайта www.hacksector.de.

Следующий червь, рассматриваемый сегодня - Mydoom.AE, который распространяется в письмах с изменяющимися характеристиками, а также через сети файлового обмена P2P.
После заражения компьютера Mydoom.AE выполняет следующие действия:
- Открывает Блокнот и отображает текст, состоящий из произвольных символов.
- Изменяет HOSTS-файл для предотвращения доступа пользователей к веб-страницам определенных антивирусных компаний. Он также завершает процессы, принадлежащие определенным антивирусным программам, оставляя компьютер уязвимым к атакам со стороны прочих вредоносных программ.
- Завершает процессы, принадлежащие вредоносным программам.
- Пытается скачать файл из Интернет.

А Gaobot.batch является пакетным файлом, удаляющим оригинальный файл Gaobot после его инсталляции на компьютер.

©1997-2024 Компьютерная газета