Недельный отчет о вирусах и вторжениях

В данном отчете будут рассмотрены: червь Mytob.LX-, backdoor-Троян Ryknos.G- и Троян -Downloader.GPH-.

Червь Mytob.LX рассылается в электронных сообщениях, сообщающих пользователям, что для продления пользования услугами определенной компании безопасности они должны посетить некую веб-страницу (якобы для подтверждения своего электронного адреса). Однако если пользователь посещает этот сайт, на его компьютер скачивается файл Confirmation_Sheet.pif, который является копией червя Mytob.LX.

После установки, червь ищет на компьютере электронные адреса (во временных файлах Интернета, адресной книге и файлах с определенными расширениями), содержащие определенные текстовые строки. Затем он отсылает себя на найденные адреса, используя собственный SMTP-движок. Для связи с удаленными SMTP-серверами, Mytob.LX добавляет к почтовому домену один из следующих префиксов: gate, mail1, mail, mx, mx1, mxs, ns, relay и smtp.

Mytob.LX открывает лазейку (backdoor) для подключения к IRC-серверу, с целью получения команд управления. Червь также завершает различные процессы, при условии их активности. Некоторые из этих процессов принадлежат антивирусным решениям. Он также изменяет hosts-файл для того, чтобы запретить пользователю доступ к различным сайтам, принадлежащим антивирусным компаниям.

Вторая угроза в отчете - backdoor-Троян Ryknos.G, который, подобно всем троянам, не способен к самостоятельному распространению (распространяется через электронную почту, скачиваемые из Интернета данные, файловые передачи через FTP и пр.). Чтобы избежать обнаружения, он не запускается на компьютерах с именем "sandbox" и с именем пользователя "CurrentUser" (эти данные обычно используются на компьютерах, осуществляющих сбор и анализ вредоносного ПО).

Ryknos.G выполняет на заражаемых компьютерах различные действия, включая следующие:
- Он завершает процессы, принадлежащие различным брандмауэрам и антивирусам, оставляя компьютер без защиты.
- Подключается к IRC-каналу #ran2 для получения удаленных команд управления.
- Генерирует несколько записей в реестре Windows для обеспечения своего запуска при каждом запуске Windows.

Завершается данный отчет Трояном Downloader.GPH, отображающим сообщение об ошибке при запуске. Он скачивает файл, который в свою очередь скачивает и запускает на компьютере несколько червей и еще один Троян.

©1997-2024 Компьютерная газета