Недельный отчет о вирусах
В течение прошедшей недели появилось пять червей: Sober.I, Bagle.BG, Yanz.A, Drew.A и Aler.A, а также троянец Msnsoug.A.
Sober.I рассылается по электронной почте, используя свой собственный SMTP механизм, в сообщении на немецком или английском языке, в зависимости от получателя. Червь собирает электронные адреса на зараженном компьютере и хранит их в файлах. Для обеспечения своего запуска при каждом включении компьютера он создает некоторые записи в реестре Windows.
Bagle.BG рассылает себя в сообщениях с изменяющимися характеристиками. Среди выполняемых им действий открытие и прослушивание порта TCP 2002. Он создает лазейку, открывая доступ к пораженному компьютеру. Bagle.BG также прерывает процессы некоторых приложений, обновляющих антивирусные продукты, оставляя компьютер уязвимым перед атаками.
Yanz.A – это почтовый червь, распространяющийся в сообщениях с сильно изменяющимися характеристиками и отображающий поддельные адреса отправителей. Кроме того, он может использовать программы обмена файлами P2P для распространения путем создания файлов с различными именами, содержащих его копии, в папках, названия которых содержат символы ‘shar’. Как сообщения, так и создаваемые им файлы тематически связаны с китайским певцом Sun Yan Zi.
После запуска файла, содержащего червя, Yanz.A отображает небольшое окно с текстом “Kernel Hatasi”. Кроме того, он открывает и просматривает порт TCP 67. Через данный порт он пытается загрузить все небольшие вредоносные программы, которые Yanz.A тут же запустит.
Drew.A распространяется как через электронную почту, так и через программы обмена файлами. В первом случае он использует свой собственный SMTP механизм для отправки сообщений с сильно изменяющимися параметрами. Текст и тема сообщения выбираются произвольным образом из имеющегося списка. Для распространения через программы P2P Drew.A ищет все папки, названия которых сдержат символы ‘share’, и копирует себя в них, используя привлекающие внимание имена, такие как "Cameron Dias.scr", "Delphi 8 keygen.com" и "DrWeb 4.32 Key.com".
Если пользователь запускает одно из вложений, содержащих Drew.A, то червь создает два файла со своими копиями. Кроме того, он рассылает себя по всем контактам, найденным в адресной книге, и удаляет все файлы с расширениями HTM и TXT, обнаруженные им на компьютере.
Червь Aler.A впервые был обнаружен несколько дней назад, но получил массовое распространение в электронных сообщениях. Тема сообщения следующая: “Latest News about Arafat !!!”. Кроме того, в него вложены два файла. Один из них представляет собой изображение палестинского политика. Второй содержит код, предназначенный для использования бреши в Internet Explorer. Таким образом, червь Aler.A устанавливается на компьютер и распространяется через недостаточно хорошо защищенные сети.
Троянец Msnsoug.A не распространяется при помощи своих собственных средств. После заражения компьютера он ожидает начала сеанса MSN Messenger и отправляет всем из списка контактов, находящимся в сети, текстовое сообщение на португальском языке.
Sober.I рассылается по электронной почте, используя свой собственный SMTP механизм, в сообщении на немецком или английском языке, в зависимости от получателя. Червь собирает электронные адреса на зараженном компьютере и хранит их в файлах. Для обеспечения своего запуска при каждом включении компьютера он создает некоторые записи в реестре Windows.
Bagle.BG рассылает себя в сообщениях с изменяющимися характеристиками. Среди выполняемых им действий открытие и прослушивание порта TCP 2002. Он создает лазейку, открывая доступ к пораженному компьютеру. Bagle.BG также прерывает процессы некоторых приложений, обновляющих антивирусные продукты, оставляя компьютер уязвимым перед атаками.
Yanz.A – это почтовый червь, распространяющийся в сообщениях с сильно изменяющимися характеристиками и отображающий поддельные адреса отправителей. Кроме того, он может использовать программы обмена файлами P2P для распространения путем создания файлов с различными именами, содержащих его копии, в папках, названия которых содержат символы ‘shar’. Как сообщения, так и создаваемые им файлы тематически связаны с китайским певцом Sun Yan Zi.
После запуска файла, содержащего червя, Yanz.A отображает небольшое окно с текстом “Kernel Hatasi”. Кроме того, он открывает и просматривает порт TCP 67. Через данный порт он пытается загрузить все небольшие вредоносные программы, которые Yanz.A тут же запустит.
Drew.A распространяется как через электронную почту, так и через программы обмена файлами. В первом случае он использует свой собственный SMTP механизм для отправки сообщений с сильно изменяющимися параметрами. Текст и тема сообщения выбираются произвольным образом из имеющегося списка. Для распространения через программы P2P Drew.A ищет все папки, названия которых сдержат символы ‘share’, и копирует себя в них, используя привлекающие внимание имена, такие как "Cameron Dias.scr", "Delphi 8 keygen.com" и "DrWeb 4.32 Key.com".
Если пользователь запускает одно из вложений, содержащих Drew.A, то червь создает два файла со своими копиями. Кроме того, он рассылает себя по всем контактам, найденным в адресной книге, и удаляет все файлы с расширениями HTM и TXT, обнаруженные им на компьютере.
Червь Aler.A впервые был обнаружен несколько дней назад, но получил массовое распространение в электронных сообщениях. Тема сообщения следующая: “Latest News about Arafat !!!”. Кроме того, в него вложены два файла. Один из них представляет собой изображение палестинского политика. Второй содержит код, предназначенный для использования бреши в Internet Explorer. Таким образом, червь Aler.A устанавливается на компьютер и распространяется через недостаточно хорошо защищенные сети.
Троянец Msnsoug.A не распространяется при помощи своих собственных средств. После заражения компьютера он ожидает начала сеанса MSN Messenger и отправляет всем из списка контактов, находящимся в сети, текстовое сообщение на португальском языке.