Недельный отчет Panda Software о вирусах и вторжениях

Одним из событий, вызвавших наибольшее беспокойство PandaLabs на этой неделе, стала комбинированная атака, совершенная Spamta.VK и Spamtaload.DT. Spamta.VK – это червь, который подключается к определенным серверам и рассылает огромное количество электронных сообщений. Такие сообщения обычно содержат исполняемый файл со скрытой копией Spamtaload.DT. После заражения компьютера троян загружает на него копию Spamta.VK, таким образом повторяя весь цикл инфицирования заново. split

Каждый раз при запуске, Spamtaload.DT демонстрирует сообщение об ошибке, а прячется сам червь в файле с привычным текстовым значком. Spamta.VK загружает из интернета несколько вредоносных файлов, а затем подключается к нескольким серверам для рассылки электронных сообщений.

Ldpinch.AAI – это троян, предназначенный для кражи паролей к нескольким видам программ: email-клиентам, браузерам, FTP-клиентам и др. Именно с этой целью он считывает конфигурационные файлы и записи реестров вышеперечисленных программ. Ldpinch.AAI также ведет сбор данных во время подключений к интернету, инициируемых с зараженного компьютера, и отслеживает все активные процессы. Всю эту информацию он затем пересылает своему создателю через веб-форму. Для этого троян вмешивается в работу некоторых брандмауэров.

Червь Grum.A прячется в электронных сообщениях, предлагающих протестировать фальшивую бета-версию Internet Explorer 7. В теле зараженного письма находится большая картинка, щелкнув по которой пользователь якобы может загрузить бета-версию. Однако, переходя по ссылке, он фактически сам скачивает червя себе на компьютер. Сразу же после запуска, вредоносный файл самоуничтожается. Grum.A поражает исполняемые файлы (.exe), а затем создает копии этих файлов под теми же именами, но с расширением “.rgn”, чтобы затруднить их удаление из системы.

Grum.A способен скрывать свои процессы с помощью руткитовых технологий, поэтому некоторым антивредоносным решениям достаточно сложно его обнаружить. Также для того, чтобы скрыть своё присутствие, червь перехватывает несколько системных DLL и копирует себя в другие (system.dll, ntdll.dll, kernel32.dll и т.д.). Grum.A открывает лазейку (backdoor) на зараженных компьютерах. В результате хакер может получить доступ к компьютеру и удаленно управлять им. Затем червь подключается к определенному веб-сайту и обновляется.

На этой неделе Microsoft опубликовала патч безопасности для исправления уязвимости в файлах анимации курсора (.ANI). Данная брешь присутствует в Windows Vista, XP и Server 2003. Эта уязвимость используется с помощью специально-написанной веб-страницы. Злоумышленникам требуется убедить пользователя заглянуть на страничку, использующую системную брешь безопасности.

Если это удается – хакеры смогут удаленно контролировать зараженный компьютер с такими же привилегиями, как и сам залогиненный пользователь. Особую опасность это представляет в случае, если пользователь обладает правами администратора. В таком случае хакер получит полный контроль над зараженным компьютером.