Недельный отчет Panda Software Russia о вирусах и вторжениях

Отчет Panda Software Russia о вирусах и вторжениях прошедшей недели четко демонстрирует новые тенденции вредоносных программ. Два образца вредоносных кода, описываемых в данном отчете нацелены исключительно на мошенничество и кражу данных, а два прочих обладают функциями руткитов.

Как пример внедряемой и практикуемой хакерами новой бизнес-модели, мы рассмотрим Nabload.CC. Этот троян, скачивающий с определенной страницы другого трояна - Banker.CJA, способен обходить брандмауэр Windows XP. Поэтому он способен осуществлять неограниченный доступ к Интернету.

Троян Banker.CJA захватывает информацию доступа к нескольким онлайновым банкам. Он поджидает, пока пользователь не посетит сайт одного из нескольких онлайновых банков. После того, как пользователь введет свои данные на сайте, троян помешает ему войти на настоящую веб-страницу. Вместо этого он покажет ее имитацию. Если пользователь снова введет свои данные, подумав что он попросту ошибся, Banker.CJA запишет его имя пользователя и пароль. Затем он отправит собранную информацию на определенные URL, позволяя хакерам получать доступ к счетам онлайновых банков жертвы.

Другой вредоносный код, нацеленный на финансовую прибыль для своего создателя - Briz.C, троян разработанный для кражи паролей. Этот троян имеет несколько компонентов, которые последовательно скачиваются из Интернета. Эти компоненты выполняют ряд действий, таких как остановка и отключение брандмауэра Windows XP, запрещение доступа к сайтам определенных антивирусных компаний, сбор паролей для учетных записей электронной почты, банков и прочих онлайновых сервисов, и т.д. Briz.C не способен распространяться автоматически, и поэтому в распространении полагается на злоумышленника, как и большинство троянов. Эта характеристика присуща целевым атакам.

В отношении руткитов, PandaLabs сообщает о Gurong.A - черве, пытающемся скачать файлы с нескольких IP-адресов. Эти файлы являются копиями червя, однако не имеющими всех его функций.
Gurong.A обладает некоторыми типичными для руткитов функциями, что позволяет ему скрывать процессы, файлы и записи реестра Windows. Эта ситуация является потенциально опасной для зараженных пользователей, поскольку хакеры могут воспользоваться ей для сокрытия процессов. Технология превентивной защиты TruPrevent, включенная в решения Panda Software, смогла обнаружить этот код, предотвратив его использование в качестве руткита, не требуя специализированных антируткитовых утилит.

Последний код в отчете - еще одна версия ветерана Bagle, в данном случае версия HX. Этот червь пытается отключить ряд служб, относящихся к антивирусам и приложениям безопасности. После установки он подключается к нескольким веб-страницам для скачивания файла.
Один из файлов, создаваемых в зараженной системе - m_hook.sys - устанавливается в качестве службы и является руткитом, скрывающий созданные Bagle.HX файлы и записи реестра.

©1997-2024 Компьютерная газета