Недельный отчет о вирусах и вторжениях
Отчет описывает червя -Bagle.FU-, пять уязвимостей - четыре в Internet Explorer и одну в Windows 2000, четырех Троянов -Mitglieder.GK, WmaDownloader.B, Banbra.BOK и Bancos.LU-, и приложение -Elite-.
Bagle.FU - червь, завершающий несколько процессов и удаляющий записи в реестре Windows. Он также отправляет ZIP-файл с копией Трояна Mitglieder.GK. Mitglieder.GK, в свою очередь, связывается с рядом веб-страниц для скачивания вредоносного ПО.
Четыре проблемы безопасности в Internet Explorer распространяются на версии 5.01, 5.5 и 6 в системах Windows 2003/XP/2000/Me/98. Они классифицированы как 'критические' и позволяют злоумышленникам удаленно выполнять ряд вредоносных действий на зараженных системах. Пятая проблема классифицирована как "Важная", и влияет на ядро Windows 2000, позволяя злоумышленнику получать полный контроль над системой.
Microsoft выпустила два бюллетеня безопасности, сообщающие о доступности обновлений, исправляющих проблемы в Internet Explorer (MS05-054) и Windows 2000 (MS05-055) и рекомендует пользователям установить заплатки.
Следующая угроза, которую мы рассмотрим - Троян WmaDownloader.B, распространяющийся в мультимедийном файле с якобы лицензионной защитой, который можно скачать с веб-страницы или через файлообменные программы (P2P).
WmaDownloader.B эксплуатирует технологию Windows Media Digital Rights Management (DRM), которая требует действующей лицензии для проигрывания защищенного файла Windows Media. Если пользователь запускает файл, содержащий трояна, то отображается окно, сообщающее, что можно приобрести лицензию или получить ее бесплатно, при условии, что пользователь согласен установить программу IST Toolbar, которая может быть использована трояном для внедрения на компьютер других угроз.
Если пользователь соглашается установить IST Toolbar, WmaDownloader.B выполняет следующие действия:
- Отображает предупреждение безопасности информирующее, что на компьютер устанавливается элемент ActiveX.
- Подключается к URL (домена drm.ysbweb.com) и, при условии, что компьютер использует проигрыватель Windows Media Player версии 9 или более поздней, скачивает и устанавливает IST Toolbar.
Третий троян, который мы рассмотрим - Banbra.BOK, распространяющийся в сообщениях, отправляемых через Messenger, и приглашающих пользователей посмотреть фотографию на определенной веб-странице. Однако если пользователь посещает эту страницу, на компьютер скачивается троян. Banbra.BOK также может скачиваться и с других сайтов.
На зараженных компьютерах Banbra.BOK открывает порт 1036, ожидая, пока пользователи не войдут на определенные банковские сайты, затем пытается украсть используемые пароли и послать эту информацию на определенные электронные адреса.
Bancos.LU это троян, сохраняющий во временных файлах информацию о компьютере, такую как имена пользователей и пароли, используемые в почтовых аккаунтах, информацию адресной книги и банковские данные. Bancos.LU получает банковскую информацию наблюдая за использованием Интернета и при попытке посещения пользователем определенных банков, перенаправляет их на поддельные страницы, запрашивающие информацию о счетах и паролях. Троян сохраняет эту информацию и отсылает своему создателю.
Мы завершаем отчет приложением Elite, которое способно записывать информацию о действиях пользователя компьютера (нажатые клавиши, запущенные программы, созданные изображения и т.д.).
Bagle.FU - червь, завершающий несколько процессов и удаляющий записи в реестре Windows. Он также отправляет ZIP-файл с копией Трояна Mitglieder.GK. Mitglieder.GK, в свою очередь, связывается с рядом веб-страниц для скачивания вредоносного ПО.
Четыре проблемы безопасности в Internet Explorer распространяются на версии 5.01, 5.5 и 6 в системах Windows 2003/XP/2000/Me/98. Они классифицированы как 'критические' и позволяют злоумышленникам удаленно выполнять ряд вредоносных действий на зараженных системах. Пятая проблема классифицирована как "Важная", и влияет на ядро Windows 2000, позволяя злоумышленнику получать полный контроль над системой.
Microsoft выпустила два бюллетеня безопасности, сообщающие о доступности обновлений, исправляющих проблемы в Internet Explorer (MS05-054) и Windows 2000 (MS05-055) и рекомендует пользователям установить заплатки.
Следующая угроза, которую мы рассмотрим - Троян WmaDownloader.B, распространяющийся в мультимедийном файле с якобы лицензионной защитой, который можно скачать с веб-страницы или через файлообменные программы (P2P).
WmaDownloader.B эксплуатирует технологию Windows Media Digital Rights Management (DRM), которая требует действующей лицензии для проигрывания защищенного файла Windows Media. Если пользователь запускает файл, содержащий трояна, то отображается окно, сообщающее, что можно приобрести лицензию или получить ее бесплатно, при условии, что пользователь согласен установить программу IST Toolbar, которая может быть использована трояном для внедрения на компьютер других угроз.
Если пользователь соглашается установить IST Toolbar, WmaDownloader.B выполняет следующие действия:
- Отображает предупреждение безопасности информирующее, что на компьютер устанавливается элемент ActiveX.
- Подключается к URL (домена drm.ysbweb.com) и, при условии, что компьютер использует проигрыватель Windows Media Player версии 9 или более поздней, скачивает и устанавливает IST Toolbar.
Третий троян, который мы рассмотрим - Banbra.BOK, распространяющийся в сообщениях, отправляемых через Messenger, и приглашающих пользователей посмотреть фотографию на определенной веб-странице. Однако если пользователь посещает эту страницу, на компьютер скачивается троян. Banbra.BOK также может скачиваться и с других сайтов.
На зараженных компьютерах Banbra.BOK открывает порт 1036, ожидая, пока пользователи не войдут на определенные банковские сайты, затем пытается украсть используемые пароли и послать эту информацию на определенные электронные адреса.
Bancos.LU это троян, сохраняющий во временных файлах информацию о компьютере, такую как имена пользователей и пароли, используемые в почтовых аккаунтах, информацию адресной книги и банковские данные. Bancos.LU получает банковскую информацию наблюдая за использованием Интернета и при попытке посещения пользователем определенных банков, перенаправляет их на поддельные страницы, запрашивающие информацию о счетах и паролях. Троян сохраняет эту информацию и отсылает своему создателю.
Мы завершаем отчет приложением Elite, которое способно записывать информацию о действиях пользователя компьютера (нажатые клавиши, запущенные программы, созданные изображения и т.д.).