Недельный отчет о вирусах

WmvDownloader.A и WmvDownloader.B: два троянца, распространяющиеся через P2P сети в форме видео файлов с расширением ".wmv". Для своего распространения WmvDownloader.A и WmvDownloader.B используют Windows Media Digital Rights Management (DRM), технологию, которая запрашивает действующий лицензионный номер при запуске защищенного файла Windows Media. Если пользователь запускает видео-файл, зараженный WmvDownloader.A или WmvDownloader.B, троянцы имитируют скачивание соответствующей лицензии с определенных веб-страниц. Однако в реальности они перенаправляют пользователей на прочие адреса, с которых скачиваются вредоносные приложения - рекламные программы, программы-шпионы, дозвонщики.

Червь Lasco.A заражает сотовые телефоны с операционной системой Symbian. Хотя изначально его целью были телефоны серии Nokia 60, он может влиять на другие устройства, использующие то же программное обеспечение.
Lasco.A использует следующие способы размножения:
1 - С помощью Bluetooth (технологии, позволяющей беспроводное соединение между устройствами на коротких расстояниях). При своем запуске Lasco.A начинает поиск прочих устройств, подключенных через Bluetooth и, в случае обнаружения, посылает свою копию в файле VELASCO.SIS. Когда устройство, на которое был послан файл, выходит из зоны действия Bluetooth, Lasco.A ищет другие, подходящие для инфицирования.
2 - Помещая свой код во все SIS файлы на зараженном устройстве. При распространении и запуске этих файлов на новых устройствах они заражаются Lasco.A. Чтобы иметь возможность распространения Lasco.A требует вмешательства пользователей, т.к. им приходит сообщение, извещающее о получении червя. Если пользователь принимает сообщение, червь устанавливается на устройство.

Следующий червь - Gaobot.CKP - распространяется, создавая свои копии в сетевых ресурсах общего пользования, и использует уязвимости LSASS, RPC DCOM и WebDAV. Он также может проникать на компьютеры под управлением SQL Server, где отсутствует пароль системного администратора, и на компьютеры с запущенным DameWare Mini Remote Control. Gaobot.CKP также получает доступ к компьютерам, зараженным следующими вредоносными программами: Bagle.A, Mydoom.A, Optix, NetDevil, Kuang и SubSeven.
Gaobot.CKP предоставляет атакующему удаленное управление зараженным компьютером, позволяя производить выполнение команд, скачивать и выполнять файлы, вести журнал нажатий клавиш и выполнять DDos (Distributed Denial of Services)-атаки.

Кроме того, в течение прошедшей недели были обнаружено три уязвимости, для которых Microsoft выпустила уже соответствующие заплатки:
- Брешь в HTML-справке Windows, позволяющая хакерам получать контроль над компьютером с теми же привилегиями, что и пользователь, начавший сеанс. Ее можно использовать, создав специально разработанную веб-страницу, и действует на компьютерах Windows 2003/XP/2000/NT/Me/98.
- Проблема безопасности в формате курсоров и иконок Windows. Пользователь может использовать ее для получения контроля над уязвимым компьютером, разместив специально созданную иконку или курсор на вредоносной веб-странице или в HTML-сообщении. Опасности подвергаются компьютеры Windows 2003/XP/2000/NT/Me/98.
- Уязвимость в службе индексирования (Index Server), которая позволяет выполнять удаленный код и эскалацию привилегий. Опасности подвергаются компьютеры с Windows XP -без Service Pack 2- и Windows 2003.

©1997-2024 Компьютерная газета