Недельный отчет Panda Software Russia о вирусах и вторжениях

Очередной недельный отчет лаборатории PandaLabs посвящен червям Oscarbot.IV, Peerbot.B и Netsad.B. Oscarbot.IV - это червь, открывающий несколько коммуникационных портов на зараженных компьютерах, позволяя злоумышленникам осуществлять удаленный доступ к системе. Он также внедряет в систему трояна Protestor.A, который, в свою очередь, способен "записывать экран" и красть данные пользователей.

Oscarbot.IV распространяется через программу обмена мгновенными сообщениями America On Line Instant Messenger, отправляя сообщения всем активным контактам пользователя. При запуске он устанавливается в систему в виде службы под названием "Windows Genuine Advantage Validation Notification", пытаясь выдать себя за анти-пиратскую службу Microsoft и обеспечивая свой запуск при каждом старте системы.

Червь Peerbot.B способен открывать лазейку для получения команд от злоумышленника по IRC. Он также способен красть данные из баз данных SQL Server и Mysql, размещенных на компьютере, которые он затем отправляет по электронной почте. При запуске червь создает несколько файлов в системе, таких как Taskdrv.exe (копию червя) и Libmysql.dll, библиотеку, принадлежащую к базе данных Mysql. Peerbot.B может распространяться по электронной почте и через Р2Р-программы обмена файлами.

Он создает ряд файлов в папках общего пользования P2P-программ с именами, выдающими их за "отмычки" для известных игр и приложений. Когда другие пользователи P2P-программ выполняют поиск, в его результатах они могут найти зараженные файлы жертвы. Чтобы избежать обнаружения, Peerbot.B завершает большой список процессов, в основном относящихся к утилитам безопасности, брандмауэрам и даже другому вредоносному ПО. Он изменяет файл HOSTS для того, чтобы запретить доступ к страницам антивирусных компаний.

Netsad.B - это червь, распространяющийся в виде почтового вложения, используя такие сообщения как "sharing files is the essence of living" ("делиться файлами - суть существования"). Он также использует несколько P2P-приложений, включая Kazaa и Emule, создавая свои копии в папках общего пользования для того, чтобы они могли быть скачаны другими пользователями. Netsad.B способен работать, только если на компьютере установлена Microsoft .NET framework 2.0.

При запуске он создает свою копию в системной папке Windows под названием winservices.cab.bak.exe. Он также создает свои копии с различными именами, включая некоторые имена антивирусов, на прочих системных элементах. Чтобы остаться незамеченным, червь завершает ряд процессов, относящихся к безопасности, оставляя компьютер уязвимым к дальнейшим атакам.