...
...

Недельный отчет о вирусах и вторжениях

В отчете на этой неделе будут рассмотрены два троянца Banker.AMQ и Downloader.ENC и две хакерских утилиты 007Spy и KeyMask.

Banker.AMQ выполняет несколько действий на заражаемых компьютерах, включая следующие:
- Он проверяет, есть ли Интернет-соединение, и если это так, отправляет электронное письмо на аккаунт в домене oi.com.br, уведомляя автора о своей установке на компьютер.
- Он осуществляет мониторинг при посещении пользователем веб-страниц, принадлежащих различным бразильским банкам. Если пользователь посещает одну из таких страниц, троянец отображает в Internet Exporer вредоносную веб-страницу, представляющую собой копию запрошенной пользователем страницы, и требует ввода конфиденциальной информации, такой как имя пользователя и пароль, в зависимости от имитируемого банка. После сбора информации он возвращает сообщение об ошибке на португальском языке, чтобы ввести пользователя в заблуждение и избежать подозрений. Затем он отправляет собранные данные на электронный адрес.
- Он ищет файлы, принадлежащие к адресной книге Windows, а также цифровые сертификаты, и отправляет их по FTP на определенный сервер.

Второй троянец - Downloader.ENC - был обнаружен на определенных веб-страницах, одна из которых посвящена урагану 'Катрина' и червю Zotob. Чтобы скачиваться и запускаться на компьютере, этот червь эксплуатирует уязвимость, о которой сообщала Microsoft в своем бюллетене MS05-001. После того, как он установится на компьютер, Downloader.ENC пытается скачать с определенной веб-страницы версию червя Delder.

Первая хакерская утилита в сегодняшнем отчете - 007Spy, которая может записывать скриншоты и нажатия клавиш, а также регистрировать открываемые пользователем сайты и файлы. Она может отправлять собранную информацию по FTP.
007Spy может скрыто работать в системе, так что пользователи не будут осознавать ее присутствия на компьютере. К тому же, она может предотвращать свое обнаружение несколькими антишпионскими программами, и позволяет устанавливать пароль для запрещения доступа к программе.





Мы завершаем сегодняшний отчет хакерской утилитой KeyMask, которая записывает нажимаемые пользователем клавиши. Чтобы контролировать процесс мониторинга, она создает файл KH.DLL, экспортирующий следующие функции: Stara, StartMaskKey и StopMaskKey.
KeyMask может собирать пароли и прочую конфиденциальную информацию, нарушая конфиденциальность пользователя.



© Компьютерная газета