Недельный отчет о вирусах и вторжениях
В отчете на этой неделе будут рассмотрены червь SdBot.EXG, троянец Cimuz.X и две хакерских утилиты: GuardMon и SpyEx
SdBot.EXG - это червь, который распространяется, эксплуатируя пять брешей безопасности: переполнение буфера в SQL Server 2000 (MS02-039); уязвимость в службе Workstation Service (MS03-049); LSASS (MS04-011); RPC-DCOM (MS04-012); и удаленное выполнение кода в Plug and Play (MS05-039) (цифры с скобках означают бюллетень Microsoft, исправляющий каждую уязвимость). Для своей отправки червь обладает собственным FTP и TFTP-сервер.
Sdbot.EXG подключается к определенным IRC-серверам, с которых получает команды, такие как: самообновление, скачивание и запуск файлов, чтение списка общих ресурсов, добавление-удаление таких ресурсов и т.д.
Cimuz.X - это троянец, при установке на компьютер выполняющий ряд действий, включая:
- Открытие произвольного порта, что позволяет использовать компьютер в качестве HTTP-прокси.
- Запуск PHP-скриптов с нескольких веб-адресов для информирования создателя о заражении.
- Для обхода брандмауэров он внедряет свои процессы в процессы других программ, не обладающих ограничениями в Интернет-доступе. Он также добавляет свои процессы в список авторизованных приложений в брандмауэре Windows XP.
- Создает несколько записей в реестре Windows, обладающих различным предназначением (для запуска при каждой загрузке Windows, определения, был ли компьютер заражен ранее и т.д.).
Cimuz.X использует несколько DLL и сторонний код. Его автор, вероятно, заново использовал компоненты других троянцев.
Следующий вредоносный код - хакерская утилита GuardMon, записывающая нажатые пользователем клавиши. Эта функция может быть использована для получения паролей или другой важной информации, и представляет собой серьезную угрозу.
GuardMon создает на зараженном компьютере файл GPS.DLL, экспортирующий функцию WSPStartup. Эта функция контролирует процесс мониторинга нажатых клавиш.
Завершает отчет хакерская утилита SpyEx, которая наблюдает за нажатыми пользователем клавишами, используемыми на компьютере приложениями и активностью в Интернете. Собранная информация отсылается в виде вложения по электронной почте на определенный адрес.
SdBot.EXG - это червь, который распространяется, эксплуатируя пять брешей безопасности: переполнение буфера в SQL Server 2000 (MS02-039); уязвимость в службе Workstation Service (MS03-049); LSASS (MS04-011); RPC-DCOM (MS04-012); и удаленное выполнение кода в Plug and Play (MS05-039) (цифры с скобках означают бюллетень Microsoft, исправляющий каждую уязвимость). Для своей отправки червь обладает собственным FTP и TFTP-сервер.
Sdbot.EXG подключается к определенным IRC-серверам, с которых получает команды, такие как: самообновление, скачивание и запуск файлов, чтение списка общих ресурсов, добавление-удаление таких ресурсов и т.д.
Cimuz.X - это троянец, при установке на компьютер выполняющий ряд действий, включая:
- Открытие произвольного порта, что позволяет использовать компьютер в качестве HTTP-прокси.
- Запуск PHP-скриптов с нескольких веб-адресов для информирования создателя о заражении.
- Для обхода брандмауэров он внедряет свои процессы в процессы других программ, не обладающих ограничениями в Интернет-доступе. Он также добавляет свои процессы в список авторизованных приложений в брандмауэре Windows XP.
- Создает несколько записей в реестре Windows, обладающих различным предназначением (для запуска при каждой загрузке Windows, определения, был ли компьютер заражен ранее и т.д.).
Cimuz.X использует несколько DLL и сторонний код. Его автор, вероятно, заново использовал компоненты других троянцев.
Следующий вредоносный код - хакерская утилита GuardMon, записывающая нажатые пользователем клавиши. Эта функция может быть использована для получения паролей или другой важной информации, и представляет собой серьезную угрозу.
GuardMon создает на зараженном компьютере файл GPS.DLL, экспортирующий функцию WSPStartup. Эта функция контролирует процесс мониторинга нажатых клавиш.
Завершает отчет хакерская утилита SpyEx, которая наблюдает за нажатыми пользователем клавишами, используемыми на компьютере приложениями и активностью в Интернете. Собранная информация отсылается в виде вложения по электронной почте на определенный адрес.