...
...

Недельный отчет о вирусах и вторжениях

В даннном отчете Panda Software будут рассмотрены три вредоносных кода: червь Mepe.A и два троянца: Mitglieder.EW и Mitglieder.FB.

Mepe.A - это червь, вызвавший значительное количество заражений c 20 по 21 сентября, особенно в Латинской Америке, и на несколько часов возглавивший рейтинг инфекций. Для распространения этот червь ищет открытые окна (обычно в приложениях обмена мгновенными сообщениями) с заголовком "Conversación". Если у зараженного пользователя открыто такое окно, червь отправляет приглашение на испанском языке со ссылкой на сайт, откуда якобы можно скачать открытку.
Но в действительности скачивается сам вирус, при запуске отображающий ложное сообщение об ошибке, при этом продолжая свои действия. Уровень инцидентов с этим вирусом значительно снизился в течение последних часов, поскольку провайдер сервера, на котором был размещен червь, отключил его, получив уведомление от антивирусной лаборатории PandaLabs.

Другие два вредоносных кода - Mitglieder.EW и Mitglieder.FB - обладают схожей структурой и несут ответственность за многочисленные инциденты последних дней, являясь частью массовой рассылки кодов Bagle и Mitglieder по электронной почте. Основной целью обоих кодов является отключение решений безопасности на компьютерах пользователей, что делает их уязвимыми к дальнейшим атакам.

Mitglieder.EW - троянец, и как таковой не обладает способностью к самостоятельному распространению. Он может распространяться вручную, в симбиозе с червями Bagle (частый прецедент между этими видами), а также через бот-сети. При проникновении на компьютер, этот троянец блокирует процессы обновлений нескольких антивирусных программ, а также службы антивирусов, брандмауэров и т.д.
Чтобы гарантировать, что эти программы не будут запущены, он удаляет из реестра Windows их конфигурационные записи. И, как обычно в случае с Mitglieder, он пытается скачать с различных сайтов файл OSA6.GIF, который выдает себя за изображение, но в действительности является исполняемым файлом. Этот файл является вредоносным кодом из семейства Fantibag.





Mitglieder.FB действует таким же образом, как предыдущий код, используя те же адреса для скачивания OSA6.GIF, а также завершая процессы и удаляя ряд файлов с жесткого диска компьютера, в основном относящихся к ИТ-безопасности. В случае с этим кодом, скачиваемый файл содержит версию троянца Downloader.



© Компьютерная газета