Недельный отчет Panda Software Russia о вирусах и вторжениях

Черви Bagle.JP, Bagle.JQ и Sixem.A, троян Downloader.JFN, backdoor-троян Breplibot.R, шпионская программа Browsezilla, и уязвимость, найденная в HLINK.DLL, рассматриваются в этом недельном отчете PandaLabs. Новые версии Bagle.JP и Bagle.JQ распространяются в защищенном паролем zip-файле, вложенном в электронное письмо, которое также содержит изображение gif с паролем, нужным для открытия файла.

Инфекция происходит, когда пользователь открывает zip-файл с помощью предоставленного пароля и запускает файл. Оба червя собирают электронные адреса с зараженного компьютера для того, чтобы распространяться к другим пользователям и обладают функциями руткитов для сокрытия своих файлов, процессов и записей в реестре. Кроме того, они отключают ряд процессов, относящихся к утилитам безопасности, таким как антивирусы и брандмауэры.

Sixem.A - это почтовый червь, использующий тему Кубка Мира FIFA в качестве приманки. При запуске он скачивает на компьютер трояна Downloader.JGP. Червь пытается заставить пользователей открыть изображение, якобы отображающее 'кубок мира среди нудистов', которое в действительности является исполняемым файлом с двойным расширением. Во избежание обнаружения, Sixem.A отключает ряд процессов, связанных с безопасностью системы, включая процессы антивирусов и брандмауэров.

Downloader.JFN - троян, использующий до сих пор неисправленную уязвимость в Microsoft Excel, способную позволять запуск произвольного кода на компьютере. Троян заражает системы с помощью файла Excel, созданного специально для этой уязвимости. При открытии вредоносного файла Excel, Downloader.JFN внедряется в процесс Internet Explorer и после этого скачивает и запускает другого трояна. Троян не способен распространяться самостоятельно, ему требуется действие пользователя для заражения компьютера (открытие почтового вложения или файла, скачанного с веб-сайта).

Breplibot.R - backdoor-троян, открывающий коммуникационный порт на компьютере и подключающихся к IRC-серверу для получения команд, позволяющих осуществлять удаленный контроль над зараженным компьютером. Троян делает запрос команде netsh для того, чтобы его не заблокировал брандмауэр. Breplibot.R требует действий со стороны пользователя для распространения (напр. открытия почтового вложения или файла, скачанного с веб-сайта или P2P-сетей). Этот червь был обнаружен вложенным в сообщения, ссылающиеся на мнимую нефтяную аферу с участием Джорджа Буша и Тони Блэра.

Browsezilla - это Интернет-браузер, который можно скачать с многочисленных веб-страниц. При инсталляции он устанавливает на компьютер рекламное ПО PicsPlace которое, в свою очередь, подключает пользователей, без их ведома, к определенным веб-страницам 'для взрослых'. Это действие "накручивает" счетчик посещений для этих сайтов, что в свою очередь приносит прибыль владельцам сайтов и создателям Browsezilla. Последствия установки этого браузера для пользователей выражаются в неконтролируемом потреблении пропускной способности сети, вызванном скрытым подключением к этим веб-страницам. Кроме того, пользователи могут быть несправедливо обвинены в посещении этих порнографических сайтов.

На прошедшей неделе PandaLabs предупреждала об уязвимости, недавно открытой в библиотеке HLINK.DL, используемой несколькими программами Microsoft Office, такими как Microsoft Excel. Были обнаружены эксплойты этой уязвимости, способные заражать компьютере с помощью специально созданного файла Excel. Этот документ может распространяться по электронной почте или скачиваться с веб-сайта. В настоящий момент для этой уязвимости нет заплатки, поэтому пользователям рекомендуется проявлять осторожность в отношении любых полученных файлов Excel, вне зависимости от их источника.

©1997-2024 Компьютерная газета