...
...

Недельный отчет о вирусах и вторжениях

В данном отчете будут рассмотрены три червя: P2load.A, Mytob.JN и Bagle.EI, шпионская программа Spytrooper, три троянца Fantibag.A, Banker.APM и Mitglieder.EV и хакерская утилита Keyspy.B.

P2load.A - это червь, распространяющийся через программы обмена файлами Shareaza и Imesh. Он выполняет несколько действий на зараженном компьютере, например, изменяет HOSTS-файл таким образом, что когда пользователь пытается открыть страницу Google, он попадает на идентичную страницу, но не имеющую отношения к Google, а размещенную на немецком сервере. Подмененная страница выглядит в точности как оригинал и даже поддерживает 17 языков Google.
Когда пользователь пытается провести поиск на фальсифицированной странице Google, выводятся результаты, являющиеся копией истинных результатов Google или же обладающие небольшими изменениями. Однако меняются спонсируемые ссылки, обычно отображаемые на верхних строчках результатов поиска. При определенных поисках пользователи, чьи компьютеры заражены P2load, увидят другие ссылки, установленные автором вредоносного ПО для повышения трафика этим сайтам.

Второй червь в отчете - Mytob.JN, который распространяется по электронной почте в сообщении с изменяющимися характеристиками. Mytob.JN открывает TCP-порт для подключения к серверу и получения удаленных команд, выполняемых им на зараженном компьютере. Этот червь завершает процессы, принадлежащие различным утилитам безопасности, таким как антивирусные программы и брандмауэры, а также процессы других вредоносных программ. Он также запрещает доступ к определенным веб-страницам, в частности, принадлежащим антивирусным компаниям.

Третий и последний червь отчета - Bagle.EI, отправляющий копию троянца Mitglieder на все почтовые адреса, которые он получает с определенных сайтов, при условии, что они не содержат определенных текстовых строк. Этот вредоносный код также запрещает запуск некоторых версий Netsky при загрузке Windows.





Следующий вредоносный код, который мы рассмотрим, называется Spytrooper. Это рекламная программа, автоматически скачиваемая с сайтов 'для взрослых' или распространяющих пиратское ПО при помощи эксплуатации уязвимости. Она также может устанавливаться после отображения всплывающего окна, предупреждающего о наличии шпионского ПО на компьютере, или в случае добровольного согласия пользователя на ее скачивание с определеной веб-страницы.
Spytrooper предупреждает пользователя, что его компьютер заражен угрозами (в действительности несуществующими) и информирует его, что они могут быть уничтожены только при условии приобретения своей полной версии. Если пользователи приобретают и регистрируют Spytrooper, 'угрозы' более не обнаруживаются и компьютер становится 'чист'.

Первый троянец, которого мы рассмотрим - Fantibag.A, запрещающий доступ к ряду сайтов, в основном принадлежащих антивирусным компаниям. Это он осуществляет методом, основанным на функциях API службы RRAS (Routing and Remote Access Service), предоставляющих возможность фильтрации пакетов.

Banker.APM - это троянец, нацеленный на кражу конфиденциальной информации - такой как пароли, которая затем отправляется его создателю. Он пытается подменить сайты различных банков на сервер, содержащий их фальсифицированные копии, чтобы пользователи вводили свои личные данные при посещении этих страниц.

Третий троянец - Mitglieder.EV, атакующий определенные утилиты безопасности, такие как антивирусы и брандмауэры. Он удаляет важные файлы и записи реестра Windows, позволяющие автоматический запуск этих приложений, блокирует службы и завершает процессы, ассоциированные с программами, выполняющими антивирусные обновления.

Мы завершаем отчет хакерской утилитой Keyspy.B, которая записывает нажатые клавиши и отправляет их по электронной почте. Она также способна запускать или блокировать запуск любой программы и осуществлять мониторинг посещаемых веб-страниц.



© Компьютерная газета