Недельный отчет Panda Software о вирусах и вторжениях

Отчет Panda Software о вредоносных кодах прошедшей недели описывает троянов Clagge.B и Rizalof.HT, а также шпионскую программу Zcodec. Clagge.B - это троян "downloader", остающийся резидентным в памяти. Для выполнения вредоносных действий, он вносит необходимые модификации в реестр Windows, помогающие избегнуть контроля брандмауэра. После выполнения этого, он подключается к определенному Интернет-адресу, с которого скачивает файл под названием suhoy341.exe, принадлежащий трояну Trj/Banker.CZI, разработанному для того, чтобы красть банковские данные пользователей.

Подобно большинству троянов, Clagge.B неспособен распространяться самостоятельно и ему требуется вмешательство злоумышленника, который должен сделать это вручную. Данный троян может быть включен в скачиваемые из Интернета файлы, пиринговые сети (P2P), вложен в почтовые сообщения и т.д.

Второй троян в отчете этой недели - Rizalof.HT, создает на зараженных компьютерах анонимный прокси-сервер, так что они могут быть использованы для рассылки спама. Чтобы сделать это, при запуске он подключается к серверу, с которого скачивает компоненты и устанавливает их на компьютер. Один из этих компонентов используется для распространения спама. Также он завершает процессы безопасности и обновления Windows.

Завершая отчет, мы расскажем о шпионской программе Zcodec, включенной в программу, якобы устанавливающую кодеки, необходимые для проигрывания определенного мультимедийного формата. Оказавшись в системе, код устанавливает руткит (программа, разработанная для сокрытия процессов, файлов и записей реестра), чтобы пользователь не мог видеть, какие файлы запускаются. Zcodec устанавливает два исполняемых файла.

Первый из них модифицирует настройки DNS на зараженном компьютере, поэтому когда пользователь щелкает на результатах, возвращаемых поисковыми системами, такими как Google, отображается другая страница. Эта тактика используется создателями программы с целью получения прибыли от систем "плата за клик", или даже перенаправления пользователей на страницы, разработанные для кражи конфиденциальных данных.

Второй исполняемый файл может выполнять два различных действия, которые выбираются произвольно. В некоторых случаях, Zcodec устанавливает трояна Ruins.MB, разработанного для скачивания на компьютер прочих вредоносных программ. В других случаях файл непрерывно запускает программу-казино, спрашивая разрешения пользователя на ее установку. Однако даже если пользователь отказывается от установки программы, на рабочем столе Windows создается иконка, при нажатии на которой производится установка.

©1997-2024 Компьютерная газета