Недельный отчет о вирусах и вторжениях
В данный отчет посвящен двум червям Mydoom.BH и Crowt.B, а также троянецу Downloader.BHV.
Mydoom.BH - это почтовый червь, который также может распространяться через сети обмена файлами P2P KaZaA. После проникновения на компьютер и своего запуска он скачивает страницу с веб-сайта с кодом, который сохраняется в системную директорию Windows в виде исполняемого файла с названием TEMP1.EXE. Он также отображает экран, относящийся к антивирусу, чтобы отвлечь внимание пользователя.
Для распространения по электронной почте он отсылает себя на все контакты в адресной книге Outlook, используя собственный SMTP механизм. Имя, которое выводится как отправитель электронного письма, фальсифицировано, и сообщение содержит вложенный файл с вредоносным кодом.
Кроме использования электронной почты Mydoom.BH также создает свою копию в директории общего пользования KaZaA, расположение которой он получает из реестра Windows. Эта копия имеет произвольное имя и расширение, выбранное из списка наименований, спроектированных для привлечения внимания пользователей KaZaA.
Другие пользователи этой программы могут получать удаленный доступ к директории общего пользования, и добровольно скачивать на свой компьютер файлы, созданные Mydoom.BH, думая, что они являются интересными программами и т.д. В действительности они скачивают копию червя. Когда они запускают скачанный файл, их компьютеры заражаются Mydoom.BH.
Второй червь в отчете - Crowt.B - обладает backdoor-способностями и рассылает себя по электронной почте, используя собственный SMTP-механизм. Он получает адреса, на которые рассылает себя из списка контактов, хранимого на компьютере пользователя.
Он позволяет выполнение удаленных команд на зараженном компьютере и кражу информации с него. Червь также несет в себе дополнительную угрозу, так как работает и как кейлоггер, записывая нажатия клавиш и похищая вводимые пароли. Для того чтобы скрыть свое присутствие Crowt.B вставляет свой код в другие программы.
И наконец, троянец Downloader.BHV. Этот вредоносный код скачивает и устанавливает рекламные программы на зараженный компьютер.
Downloader.BHV требует вмешательства атакующего для распространения и не может распространяться самостоятельно. Им используются различные каналы распространения, включая дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы, скачанное из FTP, пиринговые системы обмена файлами (P2P) и т.д.
При своем запуске он скачивает с нескольких веб-сайтов 5 исполняемых файлов, замаскированных под GIF-файлы, которые он запускает на зараженной системе. Чтобы избежать обнаружения, он использует несколько простейших методов (во время работы кода создаются определенные текстовые строки).
Mydoom.BH - это почтовый червь, который также может распространяться через сети обмена файлами P2P KaZaA. После проникновения на компьютер и своего запуска он скачивает страницу с веб-сайта с кодом, который сохраняется в системную директорию Windows в виде исполняемого файла с названием TEMP1.EXE. Он также отображает экран, относящийся к антивирусу, чтобы отвлечь внимание пользователя.
Для распространения по электронной почте он отсылает себя на все контакты в адресной книге Outlook, используя собственный SMTP механизм. Имя, которое выводится как отправитель электронного письма, фальсифицировано, и сообщение содержит вложенный файл с вредоносным кодом.
Кроме использования электронной почты Mydoom.BH также создает свою копию в директории общего пользования KaZaA, расположение которой он получает из реестра Windows. Эта копия имеет произвольное имя и расширение, выбранное из списка наименований, спроектированных для привлечения внимания пользователей KaZaA.
Другие пользователи этой программы могут получать удаленный доступ к директории общего пользования, и добровольно скачивать на свой компьютер файлы, созданные Mydoom.BH, думая, что они являются интересными программами и т.д. В действительности они скачивают копию червя. Когда они запускают скачанный файл, их компьютеры заражаются Mydoom.BH.
Второй червь в отчете - Crowt.B - обладает backdoor-способностями и рассылает себя по электронной почте, используя собственный SMTP-механизм. Он получает адреса, на которые рассылает себя из списка контактов, хранимого на компьютере пользователя.
Он позволяет выполнение удаленных команд на зараженном компьютере и кражу информации с него. Червь также несет в себе дополнительную угрозу, так как работает и как кейлоггер, записывая нажатия клавиш и похищая вводимые пароли. Для того чтобы скрыть свое присутствие Crowt.B вставляет свой код в другие программы.
И наконец, троянец Downloader.BHV. Этот вредоносный код скачивает и устанавливает рекламные программы на зараженный компьютер.
Downloader.BHV требует вмешательства атакующего для распространения и не может распространяться самостоятельно. Им используются различные каналы распространения, включая дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы, скачанное из FTP, пиринговые системы обмена файлами (P2P) и т.д.
При своем запуске он скачивает с нескольких веб-сайтов 5 исполняемых файлов, замаскированных под GIF-файлы, которые он запускает на зараженной системе. Чтобы избежать обнаружения, он использует несколько простейших методов (во время работы кода создаются определенные текстовые строки).