Недельный отчет Panda Software Russia о вирусах и вторжениях

В отчете PandaLabs прошедшей недели мы рассмотрим червей Netsad.D и Nuwar.A, а также бэкдор-трояна Nixfed.A. Для того, чтобы избежать обнаружения, червь Netsad.F использует классическую методику - он завершает процессы ряда утилит безопасности. Этот метод часто используется вредоносными кодами и для того, чтобы оставить компьютер уязвимым к другим угрозам. Он также вносит изменения в конфигурацию системы так, чтобы пользователь не мог открывать веб-страницы многих антивирусных компаний.

Для своего распространения, Netsad.F использует две различные схемы. Сначала он отправляет себя по электронной почте в сообщениях, маскируя адрес реального отправителя, на yahoo.com. Заголовки сообщения могут либо вызвать любопытство пользователей (classroom test of you? ("твой экзаменационный тест?", I have your password! - "Твой пароль у меня!", old photos about you? - "Это твои старые фото?" и т.д.) либо привлечь их внимание с помощью сообщений об ошибках доставки (Deliver Error, Deliver Mail, Delivery Failure, и т.д.). Код червя хранится во вложенном файле, который обладает разными именами: (среди которых: MAIL.PIF, PANDA.EXE, README.HTML.CMD, и т.д.).

Кроме электронной почты, этот червь пытается распространяться по Р2Р сетям. Он помещает копию своего кода в папки общего пользования с именами, которые должны привлечь пользователей и заставить скачать их (FunGame.flash.exe, "PasswordFinder.exe, pornoPic.scr и т.д.).

Червь Nuwar.A использует менее эффективную, но похожую стратегию. В то время, как Netsad.F завершает более 350 различных процессов в памяти, Nuwar.A завершает менее 15. Однако используемое им электронное сообщение использует гораздо больше ложных адресов и доменов, чем сообщения Netsad.F. Его отличительная черта: тема сообщения всегда связана с политикой, посвящена третьей мировой войне или президентами Бушу и Путину.

Бэкдор-троян Nixfed.A. После установки, эта программа позволяет манипулировать компьютером без ведома пользователя. Этот вредоносный код:
• Записывает нажатые пользователем клавиши.
• Записывает снимки экрана.
• Передает файлы.
• Перезапускает и/или выключает компьютер
• Начинает чат-сеанс с зараженным компьютером.
• Открывает лоток CD-ROM.
• Устанавливает пароль для установления подключения к компьютеру.
• Выполняет мониторинг генерируемого сетевого трафика.
• Записывает системную активность.
• Запускает себя при начале сеанса.
• Отключает диспетчер задач и многое другое.

Nixfed.A исключительно опасен для пользователей, поскольку способен наблюдать за выполняемыми ими действиями, включая конфиденциальные операции, например банковские транзакции.

©1997-2024 Компьютерная газета