Недельный отчет Panda Software о вирусах и вторжениях

В отчете прошедшей недели будут рассмотрены три вредоносных кода: троян Banker.FJI, а также черви Foamer.A и Spamta.NB. Banker.FJI - это троян, отображающий поддельные окна ввода регистрационных данных при открытии пользователем веб-страниц нескольких бразильских банков, включая Itau, Banco do Brasil и Bradesco. Когда пользователь вводит свои регистрационные данные на поддельных страницах, или на страницах, за которыми наблюдает троян, вводимые данные заносятся в текстовый файл, который затем отправляется создателю трояна. Вредоносный код также наблюдает за Интернет трафиком, который генерируется при посещении сайтов, связанных с Banco do Brasil.

Banker.FJI не способен распространяться автоматически, и поэтому в распространении полагается на злоумышленника. Среди каналов его распространения: дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы, содержимое FTP, IRC-каналы, пиринговые системы обмена файлами (P2P) и т.д. Этого трояна легко распознать, поскольку после заражения компьютера, он отображает сообщение на экране.

Foamer.A - это червь, пытающийся подключиться к определенной веб-странице, чтобы скачивать различные виды файлов, включая вредоносное ПО. Другая его функция - отключение диспетчера задач и редактора реестра, кроме того, он отправляет электронное сообщение своему создателю с информацией о зараженном компьютере, такой как имя пользователя и имя компьютера. Также, если пользователь открывает консоль CMD, Foamer.A стирает экран, отображая сообщение "THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!!", после чего автоматически закрывает его.

Foamer.A распространяется по сетям. С первого взгляда червя трудно распознать, поскольку он не отображает сообщений или предупреждений, способных выдать его присутствие. Завершает отчет Spamta.NB - это почтовый червь, чьей целью является распространять трояна SpamtaLoad.BL. Он делает это, отправляя электронные сообщения с вложениями, содержащими трояна. Эти сообщения обладают варьирующимися заголовками и текстами сообщений, как и файл, который содержит SpamtaLoad.BL. Этот троян скачивает в систему Spamta.NB, поэтому цикл повторяется при каждом заражении компьютера.

©1997-2024 Компьютерная газета