Недельный отчет о вирусах
В течение прошедшей недели было зафиксировано появление следующих вредоносных программ: EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD и Scranor.A.
EMFTrojan.C – это программа, написанная для создания файлов с уродливыми изображениями, чтобы использовать брешь, через которую можно удаленно запускать код в отношении форматов изображений EMF (Enhanced Metafile), описанных в бюллетене Microsoft MS04-032.
EMFTrojan.C предоставляет несколько опций для конфигурации сгенерированного кода, позволяя выполнить следующие действия после открытия файла:
- Открыть порт, через который на пораженный компьютер могут быть отправлены команды.
- Загружает и запускает файл с определенной URL.
Версии AH и AI червя Netsky распространяются через электронную почту, используя свой собственный движок SMTP, на те адреса, получаемые из файлов, объемом меньше чем 10,000,000 байт, имеющие следующие расширения: DBX, WAB, MBX, EML, MDB, TBB или DAT. Они отправляются через 10 минут после запуска, в период между 20 и 25 октября 2004 года. Для предотвращения одновременного заражения Netsky.AH и Netsky.AI создается мьютекс "0x452A561C".
Bagz.E распространяется по электронной почте с различными характеристиками. Он останавливает процессы приложений, таких как антивирусные программы, оставляя компьютер беззащитным перед лицом атак других угроз.
Bagz.E создает на зараженном компьютере несколько файлов в директориях Windows. Этот червь также изменяет файл HOSTS, блокируя доступ на веб сайты некоторых антивирусных производителей и компаний ИТ безопасности.
Mydoom.AD также распространяется по электронной почте в различных сообщениях. Он подделывает адрес отправителя, используя список имен и доменов.
Используя собственный SMTP движок, Mydoom.AD отправляет собственную копию на все адреса, найденные в файлах со следующими расширениями: ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS и XML.
Для обеспечения одновременного запуска только одной своей копии, Mydoom.AD создает мьютекс My-Game. Также как и другие черви, описанные выше, Mydoom.AD вносит изменения в HOSTS файл для предотвращения доступа к веб сайтам антивирусных производителей.
Версия AD червя Mydoom пытается загрузить файл с веб страницы, относящейся к другому червю Scranor.A. Она сохраняет файл в корневой директории, переименовывает, а потом запускает его.
Червь Scranor.A распространяется, копируя себя и не заражая при этом другие файлы. Его цель – проникнуть и поразить компьютеры и сети.
EMFTrojan.C – это программа, написанная для создания файлов с уродливыми изображениями, чтобы использовать брешь, через которую можно удаленно запускать код в отношении форматов изображений EMF (Enhanced Metafile), описанных в бюллетене Microsoft MS04-032.
EMFTrojan.C предоставляет несколько опций для конфигурации сгенерированного кода, позволяя выполнить следующие действия после открытия файла:
- Открыть порт, через который на пораженный компьютер могут быть отправлены команды.
- Загружает и запускает файл с определенной URL.
Версии AH и AI червя Netsky распространяются через электронную почту, используя свой собственный движок SMTP, на те адреса, получаемые из файлов, объемом меньше чем 10,000,000 байт, имеющие следующие расширения: DBX, WAB, MBX, EML, MDB, TBB или DAT. Они отправляются через 10 минут после запуска, в период между 20 и 25 октября 2004 года. Для предотвращения одновременного заражения Netsky.AH и Netsky.AI создается мьютекс "0x452A561C".
Bagz.E распространяется по электронной почте с различными характеристиками. Он останавливает процессы приложений, таких как антивирусные программы, оставляя компьютер беззащитным перед лицом атак других угроз.
Bagz.E создает на зараженном компьютере несколько файлов в директориях Windows. Этот червь также изменяет файл HOSTS, блокируя доступ на веб сайты некоторых антивирусных производителей и компаний ИТ безопасности.
Mydoom.AD также распространяется по электронной почте в различных сообщениях. Он подделывает адрес отправителя, используя список имен и доменов.
Используя собственный SMTP движок, Mydoom.AD отправляет собственную копию на все адреса, найденные в файлах со следующими расширениями: ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS и XML.
Для обеспечения одновременного запуска только одной своей копии, Mydoom.AD создает мьютекс My-Game. Также как и другие черви, описанные выше, Mydoom.AD вносит изменения в HOSTS файл для предотвращения доступа к веб сайтам антивирусных производителей.
Версия AD червя Mydoom пытается загрузить файл с веб страницы, относящейся к другому червю Scranor.A. Она сохраняет файл в корневой директории, переименовывает, а потом запускает его.
Червь Scranor.A распространяется, копируя себя и не заражая при этом другие файлы. Его цель – проникнуть и поразить компьютеры и сети.