Недельный отчет о вирусах и вторжениях
В отчете будут рассмотрены три угрозы: троянцы Banker.AXW и Format.A, а также почтовый червь Sober.Y.
Format.A - это троянец, выдающий себя за утилиту, разработанную для запуска неподписанного кода в консоли PSP (PlayStation Portable). Однако при запуске он удаляет ключевые для функционирования консоли файлы, в результате чего она не сможет запуститься. Для распространения Format.A описывает себя как приложение для изменения с помощью эксплойта версии BIOS PSP-консолей на более старую версию, чтобы запускать пиратские игры.
Banker.AXW - это троянец, осуществляющий мониторинг окон с заголовками, содержащими определенные текстовые строки, в основном относящиеся к банкам. Далее он записывает нажимаемые в этих окнах клавиши для получения паролей и прочей важной информации. Этот троянец использует несколько PHP-скриптов для отправки собранной информации. Как и большинство троянцев, Banker.AXW не способен распространяться самостоятельно. Ему требуется участие злоумышленника для проникновения на компьютер. Способы его распространения включают, среди прочих, дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы и т.д.
И, наконец, мы рассмотрим Sober.Y - это новый представитель данного семейства червей, который, как и его предшественники, способен к быстрому распространению по электронной почте. Всего через несколько часов после его появления PandaLabs начала регистрировать инциденты с его участием по всему миру. Чтобы предотвратить распространение этого червя, в особенности через компьютеры, не имеющие надлежащей защиты, Panda Software предоставляет пользователям бесплатную утилиту PQRemove, которая обнаруживает и удаляет этого червя с любого зараженного компьютера.
Для распространения этот червь использует два вида писем: первое - письмо на английском языке с темой "Your new password" которое пытается заставить пользователей поверить в то, что это уведомление об изменении пароля, предлагающее для ознакомления данные во вложенном файле - pword_change.zip. Второе - письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией червя.
Если этот файл запущен, выводится ложное сообщение об ошибке CRC, при этом вредоносные действия продолжаются. Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями, и рассылает себя по ним, используя собственный SMTP-механизм. Если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), червь отправляет немецкую версию письма.
Format.A - это троянец, выдающий себя за утилиту, разработанную для запуска неподписанного кода в консоли PSP (PlayStation Portable). Однако при запуске он удаляет ключевые для функционирования консоли файлы, в результате чего она не сможет запуститься. Для распространения Format.A описывает себя как приложение для изменения с помощью эксплойта версии BIOS PSP-консолей на более старую версию, чтобы запускать пиратские игры.
Banker.AXW - это троянец, осуществляющий мониторинг окон с заголовками, содержащими определенные текстовые строки, в основном относящиеся к банкам. Далее он записывает нажимаемые в этих окнах клавиши для получения паролей и прочей важной информации. Этот троянец использует несколько PHP-скриптов для отправки собранной информации. Как и большинство троянцев, Banker.AXW не способен распространяться самостоятельно. Ему требуется участие злоумышленника для проникновения на компьютер. Способы его распространения включают, среди прочих, дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы и т.д.
И, наконец, мы рассмотрим Sober.Y - это новый представитель данного семейства червей, который, как и его предшественники, способен к быстрому распространению по электронной почте. Всего через несколько часов после его появления PandaLabs начала регистрировать инциденты с его участием по всему миру. Чтобы предотвратить распространение этого червя, в особенности через компьютеры, не имеющие надлежащей защиты, Panda Software предоставляет пользователям бесплатную утилиту PQRemove, которая обнаруживает и удаляет этого червя с любого зараженного компьютера.
Для распространения этот червь использует два вида писем: первое - письмо на английском языке с темой "Your new password" которое пытается заставить пользователей поверить в то, что это уведомление об изменении пароля, предлагающее для ознакомления данные во вложенном файле - pword_change.zip. Второе - письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией червя.
Если этот файл запущен, выводится ложное сообщение об ошибке CRC, при этом вредоносные действия продолжаются. Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями, и рассылает себя по ним, используя собственный SMTP-механизм. Если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), червь отправляет немецкую версию письма.
