Недельный отчет о вирусах
В течение прошедшей недели лаборатория PandaLabs выявила пять новых версий Bagle и две Netsky.
Версии Bagle O и N обладают следующими характеристиками:
- Распространяются по электронной почте в сообщениях с изменяемыми параметрами, содержащих вложения (в версии O файл имеет такой же значок, как и Блокнот, а в версии N значок как у True Type шрифта). Оба червя также могут распространяться через программы обмена файлами.
- Они заражают и увеличивают размер PE файлов (в случае с версией O увеличение составляет 44KB, а у версии N - 21KB).
- Оба червя открывают лазейку в порту TCP 2556.
- Завершают процессы определенных программ, включая некоторые антивирусы, межсетевые экраны и средства системного мониторинга. Кроме того, они прерывают процессы предыдущих версий червей Bagle и Netsky.
- Функционируют только до 31 декабря 2005 года (в соответствие с системной датой).
Основные отличия данных версий Bagle:
- Bagle.O внутри своего кода содержит текст, составляющий изображение бабочки, хотя ее никогда и не видно.
- Bagle.N является полиморфным вредоносным кодом.
- Размер как сжатого и распакованного файла: Bagle.O - 23558 в сжатом виде и 44189 байт в распакованном, версия N - 20650 и 38570 байт соответственно.
Три другие версии Bagle - Q, R и S - первая и третья из которых заражают файлы. Bagle.Q загружает файл из Интерента и запускает его на компьютере. По данным лаборатории PandaLabs последняя версия распространилась особенно широко.
Netsky.N и Netsky.O, рассылаются по электронной почте при помощи их собственных SMTP механизмов по всем адресам, обнаруженным ими в файлах с определенными расширениями. Кроме того, они создают несколько файлов, некоторые из которых в формате MIME и удаляют записи, сделанные определенными червями, в том числе Mydoom и Bagle. Также они создают мьютекс для избежания одновременного запуска нескольких копий.
Различия между версиями N и O Netsky заключаются в тексте рассылаемых ими сообщений, файлах, копируемых на зараженные компьютеры, и записях, вносимых в реестр.
Версии Bagle O и N обладают следующими характеристиками:
- Распространяются по электронной почте в сообщениях с изменяемыми параметрами, содержащих вложения (в версии O файл имеет такой же значок, как и Блокнот, а в версии N значок как у True Type шрифта). Оба червя также могут распространяться через программы обмена файлами.
- Они заражают и увеличивают размер PE файлов (в случае с версией O увеличение составляет 44KB, а у версии N - 21KB).
- Оба червя открывают лазейку в порту TCP 2556.
- Завершают процессы определенных программ, включая некоторые антивирусы, межсетевые экраны и средства системного мониторинга. Кроме того, они прерывают процессы предыдущих версий червей Bagle и Netsky.
- Функционируют только до 31 декабря 2005 года (в соответствие с системной датой).
Основные отличия данных версий Bagle:
- Bagle.O внутри своего кода содержит текст, составляющий изображение бабочки, хотя ее никогда и не видно.
- Bagle.N является полиморфным вредоносным кодом.
- Размер как сжатого и распакованного файла: Bagle.O - 23558 в сжатом виде и 44189 байт в распакованном, версия N - 20650 и 38570 байт соответственно.
Три другие версии Bagle - Q, R и S - первая и третья из которых заражают файлы. Bagle.Q загружает файл из Интерента и запускает его на компьютере. По данным лаборатории PandaLabs последняя версия распространилась особенно широко.
Netsky.N и Netsky.O, рассылаются по электронной почте при помощи их собственных SMTP механизмов по всем адресам, обнаруженным ими в файлах с определенными расширениями. Кроме того, они создают несколько файлов, некоторые из которых в формате MIME и удаляют записи, сделанные определенными червями, в том числе Mydoom и Bagle. Также они создают мьютекс для избежания одновременного запуска нескольких копий.
Различия между версиями N и O Netsky заключаются в тексте рассылаемых ими сообщений, файлах, копируемых на зараженные компьютеры, и записях, вносимых в реестр.