Недельный отчет о вирусах

В течение прошедшей недели в сети появились следующие вредоносные программы: Netsky.AG, Darby.gen, JPGTrojan.D, Funner.A и Nemsi.A.

Netsky.AG, который был создан при помощи изменения исполнимого файла Netsky.B, рассылает себя по электронной почте, используя собственный SMTP механизм, по всем адресам, обнаруженным им в файлах с определенными расширениями. Для обмана пользователей Netsky.AG подделывает адрес отправителя и использует в качестве него один из адресов, обнаруженных в файлах пораженного компьютера. Данный червь также распространяется через программы обмена файлами P2P.
После запуска Netsky.AG отображает сообщение об ошибке и пытается скопировать себя на все диски компьютера, за исключением CD-ROM. Эта версия Netsky также удаляет записи в реестре, внесенные другими червями, включая Mydoom.A и Mimail.T.

Darby.gen – это механизм обнаружения для будущих представителей семейства Darby. Эта группа червей распространяется по электронной почте и через программы обмена файлами P2P. Кроме того, они завершают процессы антивирусных программ и других систем защиты, таких как межсетевые экраны и средства системного мониторинга, оставляя компьютер уязвимым перед атаками других вредоносных объектов.

JPGTrojan.D - программа, позволяющая создавать JPG изображения, использующая брешь переполнения буфера при обработке JPEG (описана в бюллетене Microsoft MS04-028).
Последствия открытия изображения, созданного JPGTrojan.D, включают открытие порта, что влечет за собой возможность получения удаленного доступа к пораженному компьютеру и загрузке исполнимого файла из сети Интернет на заражаемый компьютер.

Funner.A – это червь, распространяющийся через MSN Messenger и изменяющий файл HOSTS, не позволяя пользователям получать доступ к некоторым веб сайтам. Более того, на компьютерах с Windows Me/98/95 он изменяет файл SYSTEM.INI для обеспечения своего запуска при каждом включении компьютера, а также перезаписывает файл RUNDLL32.EXE, заменяя его своей копией.

Nemsi.A - вируса, не распространяющийся автоматически при помощи собственных средств. Он попадает на компьютеры при попадании на них ранее зараженных файлов через обычные средства, такие как дискеты, компакт-диски, электронные сообщения с зараженными вложениями, каналы IRC и т.д.).
Nemsi.A заражает EXE файлы путем вставления своего кода в и начало. После заражения компьютера вирус изменяет значок инфицированного файла. При запуске 13 сентября вирус вызывает общий сбой (синий экран) в Windows.

©1997-2024 Компьютерная газета