Недельный отчет Panda Software Russia о вирусах и вторжениях
Отчет PandaLabs о вирусах прошедшей недели описывает троянов Clickbot.A и Kitty.Kat, а также червя Hoots.A. Clickbot.A - это троян, являющийся частью механизма обмана систем 'деньги за клик'. Он регистрирует мошеннические клики на рекламных объявлениях, которые в действительности не приносят хитов. PandaLabs раскрыла сеть из тысяч зараженных компьютеров, используемых для этой цели. Троян не способен распространяться автоматически - требуется вмешательства пользователя для заражения систем. Пользователь должен, например, открыть файлы, вложенные в электронные письма, скачивать файлы из Интернета или из пиринговых сетей обмена файлами.
При запуске троян регистрируется как вспомогательный объект браузера (BHO), позволяя ему активироваться каждый раз при запуске Internet Explorer. Clickbot.A способен обновлять собственный код, уведомлять контролирующего бот-сеть о том, что компьютер заражен и доступен, и может быть использован мошенническим образом для получения кликов.
KittyKat.A это троян, также неспособный распространяться собственными средствами, а требующий вмешательства пользователя для активации, т.е. открытия почтовых вложений, скачивания файлов из Интернета или из пиринговых сетей. Он выглядит сжатым файлом RAR, который также содержит оригинальные сжатые файлы, и ряд файлов с произвольными размерами и именами, вместе с файлом под названием Start.bat. Если он запущен, создается новый исполняемый файл под названием Nrk.exe, который ищет все файлы RAR и внедряет свой код. По завершении процесса выводится следующее сообщение: Eppur si muove! - Defend your opinion!. Троян не имеет других вредоносных эффектов.
Hoots.A это червь, распространяющийся по ресурсам общего пользования и присоединенным накопителям в локальной сети. Он легко распознается, поскольку отправляет на сетевые принтеры изображение полярной совы с текстом "O RLY?". Червь создает файл под названием O RLY.exe в папке Пуск, с целью запускаться каждый раз при запуске Windows, и другой файл под названием Check.exe, оба из которых являются копией его кода.
Как только червь обнаруживает сеть, он начинает различные действия с целью распространения, например пытается ввести часто используемые пароли в попытке получить доступ к дискам общего пользования, создавая инвентаризацию присоединенных дисков с целью создания своей копии на них.
При запуске троян регистрируется как вспомогательный объект браузера (BHO), позволяя ему активироваться каждый раз при запуске Internet Explorer. Clickbot.A способен обновлять собственный код, уведомлять контролирующего бот-сеть о том, что компьютер заражен и доступен, и может быть использован мошенническим образом для получения кликов.
KittyKat.A это троян, также неспособный распространяться собственными средствами, а требующий вмешательства пользователя для активации, т.е. открытия почтовых вложений, скачивания файлов из Интернета или из пиринговых сетей. Он выглядит сжатым файлом RAR, который также содержит оригинальные сжатые файлы, и ряд файлов с произвольными размерами и именами, вместе с файлом под названием Start.bat. Если он запущен, создается новый исполняемый файл под названием Nrk.exe, который ищет все файлы RAR и внедряет свой код. По завершении процесса выводится следующее сообщение: Eppur si muove! - Defend your opinion!. Троян не имеет других вредоносных эффектов.
Hoots.A это червь, распространяющийся по ресурсам общего пользования и присоединенным накопителям в локальной сети. Он легко распознается, поскольку отправляет на сетевые принтеры изображение полярной совы с текстом "O RLY?". Червь создает файл под названием O RLY.exe в папке Пуск, с целью запускаться каждый раз при запуске Windows, и другой файл под названием Check.exe, оба из которых являются копией его кода.
Как только червь обнаруживает сеть, он начинает различные действия с целью распространения, например пытается ввести часто используемые пароли в попытке получить доступ к дискам общего пользования, создавая инвентаризацию присоединенных дисков с целью создания своей копии на них.
