...
...

Недельный отчет о вирусах

Mydoom.AO появился в середине прошлой недели. Он обладает способностью распространяться гораздо быстрее и шире, чем основная масса компьютерных вирусов. Причина кроется в том, что он использует Google, Altavista, Yahoo и Lycos для поиска email-адресов, на которые он рассылает собственные копии. Для обмана пользователей рассылаемые письма он выдает за сообщения о недоставленной почте.

Электронные сообщения, несущие Mydoom.AO содержат вложенный файл, в котором находится код вируса, с одним из следующих расширений: ZIP, COM, SCR, EXE, PIF, BAT или CMD. Если пользователь запускает вложенный файл, червь создает несколько своих копий под именем JAVA.EXE на зараженном компьютере и ищет email-адреса в адресной книге Windows, временных файлах Интернет и файлах с определенными расширениями. После того, как червь выполнит эти действия, он выбирает имена доменов из найденных адресов и использует их как тему для поиска в Google, Altavista, Yahoo и Lycos. Затем Mydoom.AO отсылает себя на все найденные таким образом адреса. Также он создает несколько записей в реестре Windows для того, чтоб обеспечить свой запуск при каждом запуске компьютера.

Вторая версия Mydoom в данном отчете - AM, которая распространяется в электронных сообщениях с варьирующимися характеристиками, а также через P2P-программы обмена файлами KaZaA, Morpheus, eDonkey2000, iMesh и LimeWare.

На заражаемых компьютерах Mydoom.AM завершает процессы, принадлежащие определенным утилитам безопасности, например таким, как некоторые антивирусы и межсетевые экраны, оставляя зараженный компьютер уязвимым к атакам прочих вредоносных программ. Червь также изменяет HOSTS-файл для того, чтобы запретить доступ к веб-сайтам нескольких производителей антивирусов, и завершает процессы других червей, таких как Netsky, Bagle, Sobig и Blaster.

Gaobot.DAC и Gaobot.CYX - это два червя, которые используют несколько способов размножения, включая следующие:
- Они создают копии себя в сетевых ресурсах общего пользования, к которым им удается получить доступ.
- Чтобы распространяться через Интернет они используют бреши безопасности, такие как уязвимости LSASS и RPC DCOM, для которых уже выпущены заплатки от Microsoft.
Версии DAC и CYX обладают backdoor-возможностями, что позволяет хакерам осуществлять удаленное управление компьютером, и выполнять действия, такие как выполнение команд, скачивание и запуск файлов, отслеживание нажатых клавиш, кража различной информации с компьютера, запуск распределенных атак отказа сервиса (DDoS) и т.д.

Завершает отчет червь Bropia.J, который распространяется через MSN Messenger. При своем запуске, вредоносный код пытается отобразить HTML-страницу, которая содержит ссылку на определенную веб-страницу, для того чтобы отобразить изображение. Bropia.J также предотвращает доступ пользователя к Диспетчеру задач и Редактору реестра Windows (файл REGEDIT.EXE).

© Компьютерная газета