Недельный отчет Panda Software о вирусах и вторжениях

На этой неделе в традиционном отчете PandaLabs рассматриваются троянов SpamtaLoad.DO, ArmyMovement.A и Lozyt.A, а также червя Muhi.A. Троян SpamtaLoad.DO распространяется в электронных сообщениях с такими темами, как, например, “Ошибка (Error)”, “Добрый день (Good day)” или “привет (hello)”. Текст письма может быть разным, но обычно в нем содержится сообщение об ошибке от отправителя. Сам троян прячется в исполняемом вложении под разными именами.

Когда пользователь запускает зараженный файл, троян демонстрирует сообщение об ошибке. В других случаях он показывает файл блокнота с текстом. Данный вредоносный код предназначен для загрузки червя Spamta.TQ на пораженный компьютер и рассылки SpamtaLoad.DO по всем электронным адресам, найденным в зараженной системе.

Троян ArmyMovement.A проникает в компьютер с электронной почтой или файловыми загрузками и при запуске копируется в систему. Специально разработанный для кражи адресов электронной почты, хранящихся в Outlook, он рассылает по всем таким адресам сообщение-розыгрыш о том, что турецкое правительство приняло решение на 50% поднять зарплаты солдат и госслужащих. Темы и тексты таких сообщений написаны на турецком языке.

ArmyMovement.A становится причиной нескольких ошибок на зараженных компьютерах. Например, он модифицирует файл загрузки и тот демонстрирует сообщение, подсказывающее пользователям отформатировать жесткий диск. Также он вносит изменения в файл ntldr, что не дает компьютеру перезагружаться. Данный вредоносный код переписывает файлы с другими расширениями (.jpg, .xls, .doc, .zip…), что становится причиной потери информации.

Троян Lozyt.A попадает в компьютеры вместе с электронной почтой или загрузками файлов. Сразу после запуска он подключается к удаленному серверу и загружает исполняемый файл, который устанавливает рекламную программу Errorsafe на зараженный компьютер. Lozyt.A также прекращает несколько процессов, среди них некоторые из процессов решений безопасности. Он всеми силами старается подольше остаться незамеченным.

И в последнюю очередь мы рассмотрим червя Muhi.A. Для распространения, он копируется на все системные диски, включая съемные накопители (USB карты памяти, и др.) Этот червь уничтожает содержимое накопителей, в которых находятся его копии. Muhi.A также распространяется через общие папки, под такими названиями как: I_LOVE_YOU.exe, download.exe или window shopper.exe. Копии червя отображаются со значком Блокнота. Этот червь прерывает процессы некоторых решений безопасности. Он также изменяет реестр для того, чтобы система не смогла предупредить о таких ошибках. Кроме того, Muhi.A изменяет стартовую страницу Internet Explorer.