Недельный отчет о вирусах и вторжениях

В отчете будут рассмотрены: троян -Mitglieder.HJ- и два червя -Mytob.MU и Feebs.E-.

Троян Mitglieder.HJ не способен к самостоятельному распространению, он должен распространяться третьими сторонами (через электронную почту, скачиваемые из Интернета данные, файловые передачи через FTP и пр.). Однако в случае получения соответствующей команды, он может рассылать свои копии, используя определенный SMTP-сервер.

Mitglieder.HJ выполняет на заражаемом компьютере следующие действия:
- Открывает порт 33322 и действует как прокси-сервер. Также ожидает приказов удаленного контроля для выполнения их на ПК, среди которых могут быть инструкции запуска SMTP-сервера или самообновления.
- Пытается скачать с нескольких веб-страниц текстовый файл, содержащий список IP-адресов.
- Создает мьютекс -555 для обеспечения одновременной работы лишь одной своей копии.

Первый червь в отчете - Mytob.MU, который распространяется по электронной почте в сообщении с изменяющимися характеристиками и ZIP-вложением. При запуске файла червь заражает компьютер и ищет на компьютере электронные адреса, на которые рассылается, используя собственный SMTP-движок.

Mytob.MU подключается к IRC для получения удаленных команд контроля, которые выполняет на зараженном компьютере. Он также завершает процессы, принадлежащие нескольким утилитам безопасности, таким как антивирусные программы и брандмауэры, а также процессы других вредоносных программ. Вдобавок червь запрещает доступ к определенным веб-страницам, в частности принадлежащим антивирусным компаниям. На компьютерах с Windows XP он отключает брандмауэр (ICF) и Общий доступ к Интернет-подключению (ICS).

Третья угроза в отчете - червь Feebs.E, распространяющийся по электронной почте и через Р2Р программы обмена файлами. Один из методов, используемых им для распространения по электронной почте, заключается в мониторинге сетевого трафика с целью обнаружения отправки сообщения с вложением. В этом случае он вкладывается в это сообщение. Таким образом, он выдает себя за сообщение из надежного источника, повышая вероятность того, что получатели откроют и запустят его.

После своей установки на компьютер Feebs.E открывает несколько портов для получения команд удаленного контроля и использует rootkit-методы (для сокрытия своих файлов и записей реестра Windows, а также открытых им портов). Вдобавок червь отключает несколько программ безопасности, что оставляет зараженный компьютер уязвимым для атак прочего вредоносного ПО.

©1997-2024 Компьютерная газета