Недельный отчет о вирусах и вторжениях

В настоящем отчете будут рассмотрены четыре версии троянца Mitglieder (FK, FL, FN и FM), массово распространявшиеся по электронной почте в течение этой недели и вызвавшие массовые заражения компьютеров во многих странах мира, а также червь Bagle.FN.

По данным Panda ActiveScan, бесплатного онлайнового антивируса компании Panda Software, четыре упомянутые выше версии Mitglieder стали наиболее часто обнаруживаемыми угрозами по всему миру. Первая появившаяся версия -FK- распространяется в электронных письмах с пустым заголовком и текстом, содержащим слова "Texte" или "Info". Сообщение содержит вложенный файл с расширением .zip (Например: Health_and_knowledge, Sms_txt, Max, Business, The_new_price, Info_prices или Business_dealing). Архив содержит .EXE файл, который при запуске устанавливает на компьютер Mitglieder.FK.

Версии Mitglieder FK, FL и FN обладают следующими общими особенностями:

- После установки на компьютер, они пытаются, скачать файл с различных веб-страниц, используя PHP-скрипт. После скачивания, они сохраняют его - используя в качестве имени файла произвольную цифру - в подпапке EXEFLD директории Windows, а затем запускают его.

- Затем троянец создает файл HLOADER_EXE.EXE - это копия самого троянца, который в свою очередь генерирует файл HLEADER_DLL.DLL при следующем запуске компьютера. Он внедряется в процесс EXPLORER.EXE и отвечает за выполнение действий троянца.

На компьютерах зараженных Mitglieder FM болкируется доступ к определенным веб-страницам, в частности принадлежащим антивирусным компаниям; отключаются системные службы, относящиеся к нескольким антивирусам и продуктам безопасности; удаляются утилиты редактирования реестра Windows.

Bagle.FN - червь, который отправляет копию троянца Mitglieder.FK на все адреса, собранные на зараженном компьютере.
Bagle.FN распространяется в электронном сообщении, которое пытается обманом заставить пользователей поверить в то, что вложенный файл является программой, изображением и т.д. Он также распространяется через Интернет, атакуя IP-адреса (которые получает произвольным методом или из сети зараженного компьютера) путем эксплуатации бреши в безопасности или через открытый порт.
Bagle.FN пытается скачать с различных сайтов несколько файлов для их последующего запуска на компьютере и удаляет из реестра Windows записи, принадлежащие другим образчикам вредоносного ПО.

©1997-2024 Компьютерная газета