Недельный отчет о вирусах и вторжениях

В данном отчете рассматриваются три троянца: Trj/PGPCoder.B, Trj/Mitglieder.DQ и Trj/Bancos.GW и два червя: W32/Oscarbot.AY и W32/Codbot.AP.

Bancos.GW - это троянец, крадущий пароли и запрограммированный шпионить за привычками пользователя в Интернете. Если пользователь вводит определенные ключевые слова, внесенные в код этого троянца и относящиеся к онлайновым банковским порталам, или посещает сайты определенных международных банков, троянец отображает всплывающее сообщение. В сообщении пользователя просят ввести информацию о его банковском счете, уверяя, что это сообщение - часть безопасного SSL-протокола банка. Троянец отсылает всю собранную информацию на удаленный сервер, принадлежащему автору этого вредоносного кода.

Версия B троянца PGPCoder является обновлением троянца, который 'похищал' файлы, то есть зашифровывал их и требовал выкуп. Новая версия обладает расширенными функциями, например, возможностью зашифровывать большее количество файлов и измененный алгоритм шифрования. После зашифровки файлов он удаляет себя и посылает пострадавшему пользователю электронное письмо, требуя неопределенное количество денег для решения проблемы. Этот троянец не способен к самостоятельному распространению и должен распространяться вручную.

Последний троянец Mitglieder.DQ, направленный против определенных утилит ИТ-безопасности, например антивирусов и брандмауэров, останавливает ассоциированные с ними службы и завершает процессы. Он также удаляет записи с конфигурационными данными из реестра. Этот троянец также пытается скачать файл под названием OSA3.GIF, который, скорее всего, является еще одним вредоносным кодом, несмотря на то, что этот файл был недоступен для скачивания на момент написания этой статьи. Этот троянец принадлежит к семейству Bagle/Mitglieder. За последние месяцы появилось множество версий вредоносных кодов этого семейства, которые послужили причиной значительного количества инцидентов.

Два червя, рассматриваемые в отчете на этой неделе, являются ботами. Этот тип вредоносного ПО обладает backdoor-возможностями, то есть резидентно присутствует на компьютере пользователя и ожидает команд. Боты могут быть использованы для проведения координированных атак или рассылки спама, и "сдаются в аренду" своими создателями. Первый из них - Oscarbot.AY, червь, получающий команды через IRC-сервер, которые варьируются от скачивания и запуска кода до своего обновления или удаления. Этот червь распространяется через приложение обмена мгновенными сообщениями AOL Instant Messenger (AIM), отсылая сообщение всем контактам зараженного пользователя, содержащее ссылку на копию червя.

Codbot.AP действует похожим образом, но также проверяет компьютер на наличие самых распространенных уязвимостей и может записывать нажатые пользователем клавиши чтобы красть пароли или другие конфиденциальные данные, например, данные банковского счета, номера кредитных карт и т.д. Этот червь распространяется, эксплуатируя две самых распространенных уязвимости Windows: LSASS и RPC-DCOM, поэтому для защиты от него необходимо убедиться в обновленности системы.

©1997-2024 Компьютерная газета