Недельный отчет о вирусах

В течение прошедшей недели было обнаружено шесть новых червей: Plexus.A, Cult.J и четыре версии Korgo, а также Protoride.gen.

Plexus.A распространяется через Интернет, используя бреши RPC DCOM и LSASS и рассылая себя по всем адресам, обнаруженным на пораженном компьютере и доступных устройствах.
Plexus.A перезаписывает базовый файл, не позволяя компьютеру соединяться с определенными веб адресами антивирусных компаний, что приводит к невозможности обновлять установленную защиту. Plexus.A получает доступ к папке KaZaA и копирует себя в нее. Кроме того, он создает свои копии в общих сетевых папках.

Cult.J распространяется по электронной почте в сообщении с темой: 'Hello, I sent you a beautiful love card. ^_*' и вложенным файлом: 'BEAUTIFULLOVE.PIF'. После запуска файла червь рассылает свои копии по некоторым адресам, используя свой собственный SMTP механизм.
Cult.J остается резидентным в памяти компьютера и пытается соединиться с каналом IRC. Если ему удается установить соединение, то вредоносный код предоставляет атакующему удаленный доступ к зараженному компьютеру, позволяя злоумышленнику выполнять различные действия, в том числе:
- Проводить атаки через IRC.
- Высылать конфиденциальную и системную информацию.
- Загружать и запускать файлы.
- Рассылать червей в другие каналы IRC.

Protoride.gen – это механизм обнаружения версий червя Protoride, которые могут появиться в будущем. Вредоносные коды этого семейства обладают следующими характеристиками:
- Они распространяются через компьютерные сети путем копирования себя на сетевые ресурсы, к которым им удается получить доступ.
- Они соединяются с каналом IRC через порт 6667 и ожидают команд хакера (на загрузку и запуск файлов, скрытие активных процессов и т.д.).
- Они изменяют Реестр Windows, предотвращая запуск EXE файлов. В результате некоторые приложения перестают работать.

Черви C, D, E и F Korgo распространяются через Интернет, используя брешь LSASS. Все версии открывают порт 3067 и просматривают его. Кроме того, они пытаются соединиться с серверами IRC и не позволяют выключить компьютер.

©1997-2022 Компьютерная газета
oJnWE3?=нD}{DfHM=|]| ,Rh٣ <Ļi՛)^l`6=Rep9oyB~{<@- $ 3?:͜i*Ifgf$;9'yUw9Z.N#ҧcxS`np^i㺔o; :_].mC[tTbH)n̳\jzskV[CMͿ v}\I?lI_ }:7„CzhrE