Недельный отчет Panda о вирусах и вторжениях

Отчет PandaLabs прошедшей недели рассказывает о черве BlackAngel.B, троянах Banker.DJH и Xorpix.O, вирусе Detnat.A и двенадцати уязвимостях, о которых сообщала Microsoft -MS06-21, MS06-22, MS06-23, MS06-24 MS06-25, MS06-26 MS06-27, MS06-28 MS06-29, MS06-30, MS06-31 и MS06-32-. BlackAngel.B - это червь, распространяющийся через программу обмена мгновенными сообщениями MSN Messenger. Чтобы инфицировать компьютер, он отправляет на него сообщение с текстом "jaja look a that" и со ссылкой на файл под названием 'fantasma.zip', который выдает себя за файл проигрывателя Windows Media Player.

Файл обладает двойным расширением, которое скрыто от пользователей, если включена функция сокрытия расширений известных типов файлов. При запуске файла, червь завершает ряд процессов относящихся к антивирусам и брандмауэрам, оставляя компьютер уязвимым к атакам. Он также отключает доступ к административным утилитам операционной системы, таким как Панель Управления, редактор реестра, диспетчер задач и восстановление системы. Затем BlackAngel.B выключает зараженный компьютер, что приводит к потере несохраненной информации.

Banker.DJH - троян, пытающийся красть с компьютеров конфиденциальные банковские данные. Для этого, он наблюдает за открываемыми пользователем веб-страницами, и если обнаруживает, что хозяин ПК выполняет доступ к определенным банковским ресурсам, он записывает вводимые данные. Кроме того, троян крадет информацию об аккаунтах электронной почты на компьютере. Чтобы скрывать свои действия, этот троян отключает защиту файлов Windows и изменяет файлы userinit.exe и sfc_os.dll. Banker.DJH неспособен распространяться сам, а требует открытия пользователем зараженного файла, полученного по электронной почте, скачанного с веб-страницы, или через программы обмена мгновенными сообщениями или Р2Р сети.

Xorpix.O - это троян, превращающий зараженный компьютер в прокси-сервер. Он открывает произвольный порт для уведомления злоумышленника о том, что компьютер доступен. Троян не способен распространяться сам, а требует действий со стороны пользователя, таких как открытие файла, вложенного в электронную почту или запуск файлов, скачанных из Интернета, FTP-серверов или P2P-сетей. При запуске, Xorpix.O внедряет себя в системный процесс winlogon.exe и создает процесс под названием iexplore.exe чтобы выдать себя за процесс браузера Internet Explorer. Он также создает ряд записей в реестре Windows для обеспечения своего запуска при каждом старте операционной системы.

Detnat.A - это вирус, заражающий несжатые файлы PE (Portable executable). Он использует упаковочный алгоритм, так что зараженный файл сохраняет свой оригинальный размер и полиморфную процедуру для различного шифрования данных при каждой инфекции. Detnat.A распространяется по сетевым ресурсам общего пользователя, к которым он получает доступ. Для заражения компьютеров ему требуются действия со стороны пользователя - открытие почтовых вложений или файлов, скачанных из Интернета/других источников.

На этой неделе Microsoft опубликовала 12 бюллетеней безопасности о ряде уязвимостей (из которых 8 классифицированы как критические), обнаруженных в различных приложениях и компонентах ее операционных систем: MS06-21, MS06-22, MS06-23, MS06-24 MS06-25, MS06-26 MS06-27, MS06-28 MS06-29, MS06-30, MS06-31 и MS06-32. Среди уязвимых программ - Internet Explorer, Windows Media Player и несколько версий Microsoft Word и PowerPoint. При успешном использовании этих уязвимостей, удаленный злоумышленник может получить полный контроль над уязвимым компьютером. По этой причине, рекомендуется скачать заплатки безопасности для исправления этих уязвимостей с сайта Microsoft.