Недельный отчет Panda Software Russia о вирусах и вторжениях
Трояны Briz.I и Mitglieder.IZ, черви Bagle.JG и BlackAngel и шпионская программа DigiKeyGen - темы недельного отчета лаборатории PandaLabs.
Briz.I - это троян, используемый в криминальной афере с целью кражи конфиденциальных данных (банковские данные и пароли). Для распространения ему требуются - открытие почтовых вложений или скачивание файлов из Интернета/P2P-сетей. Он также был обнаружен на некоторых веб-страницах, в основном нелегального или порнографического содержания, которые перенаправляют пользователей на другую страницу, автоматически скачивающую вредоносный файл с помощью эксплойтов.
Оказавшись в системе, Briz.I присваивает себе имя "iexplore.exe", пытаясь выдать себя за процесс Internet Explorer. Затем он отключает службы безопасности Windows (брандмауэр) и изменяет hosts-файл для того, чтобы блокировать доступ к вебсайтам антивирусных компаний. Наконец, он скачивает на зараженный компьютер другой компонент и самоудаляется. Этот компонент отправляет злоумышленнику информацию о системе, включая IP-адрес и страну.
Он также устанавливает плагин для захвата вводимых пользователем данных в формах Internet Explorer, таких как пароли и банковские данные. Briz.I также позволяет использовать зараженный компьютер в качестве шлюза для доступа к прочим сайтам, маскируя злоумышленника, и предоставляет доступ к файлам зараженной системы.
Mitglieder.IZ - это троян, внедряемый в системы червем Bagle.JG, который пытается скачать на пораженную систему файлы, выдающие себя за файлы JPG и PHP, но в действительности являющиеся обновлениями Bagle.JG. С этой целью он подключается к нескольким веб-сайтам для того, чтобы искать сетевые серверы eDonkey и копировать себя в сеть. Троян копирует себя в систему под именем Mdelk.exe и создает ключ реестра (Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run), указывающий на mdelk.exe с целью запуска при каждом старте системы.
Bagle.JG - это червь, внедряющий на зараженный компьютер трояна Mitglieder.IZ. Он также пытается снизить безопасность зараженного компьютера, завершая службы утилит безопасности, среди которых антивирусы и брандмауэры. Bagle.JG распространяется через программу P2P eDonkey, копируя себя под именами файлов, собранных Mitglieder.IZ, так чтобы пользователи считали, что это полезный файл. Он вставляет запись в реестр Windows для обеспечения своего запуска при каждом старте системы, и еще одну в Hkey_Current_User\ Software\FirstrRun для отметки компьютера, чтобы знать, заражен он или нет.
BlackAngel.A - это червь, пытающийся завершить процессы, связанные с утилитами безопасности, такими как антивирусы и брандмауэры. Также он блокирует запуск некоторых утилит Windows на зараженном компьютере, среди которых редактор реестра и диспетчер задач. Он распространяется через MSN Messenger, выдавая себя за файл проигрывателя Windows Media Player с двойным расширением, который при запуске выводит на экран сообщение об ошибке и отправляет копию червя на все активные контакты пользователя. Самые разрушительные действия червя заключаются в удалении ряда критических записей реестра Windows, что предотвращает загрузку системы.
DigiKeyGen - это рекламное ПО, размещенное на нескольких веб-страницах, заманивающее пользователей предложением паролей для бесплатного доступа к порнографическому контенту. При запуске он внедряет в систему код под названием SpywareQuake, вместе с одноименным антишпионским приложением. Затем антишпионская программа шантажирует пользователя, сообщая ему, что его компьютер заражен, и единственный способ вылечить его - приобрести лицензию на программу.
DigiKeyGen может быть скачан с нескольких веб-сайтов 'взрослого' содержания, а также с официальной веб-страницы программы. И наконец, рекламная программа создает файл под названием eregperf.exe в папке Windows зараженного компьютеры, вместе с файлом, считающим сколько раз была запущена программа. Он также вводит ключ в запись реестра Hkey_Local_Machine\Software\Microsoft\Windows\Currentversion\ Policies\Explorer\ Run чтобы максимально усложнить ручную дезинфекцию.
Briz.I - это троян, используемый в криминальной афере с целью кражи конфиденциальных данных (банковские данные и пароли). Для распространения ему требуются - открытие почтовых вложений или скачивание файлов из Интернета/P2P-сетей. Он также был обнаружен на некоторых веб-страницах, в основном нелегального или порнографического содержания, которые перенаправляют пользователей на другую страницу, автоматически скачивающую вредоносный файл с помощью эксплойтов.
Оказавшись в системе, Briz.I присваивает себе имя "iexplore.exe", пытаясь выдать себя за процесс Internet Explorer. Затем он отключает службы безопасности Windows (брандмауэр) и изменяет hosts-файл для того, чтобы блокировать доступ к вебсайтам антивирусных компаний. Наконец, он скачивает на зараженный компьютер другой компонент и самоудаляется. Этот компонент отправляет злоумышленнику информацию о системе, включая IP-адрес и страну.
Он также устанавливает плагин для захвата вводимых пользователем данных в формах Internet Explorer, таких как пароли и банковские данные. Briz.I также позволяет использовать зараженный компьютер в качестве шлюза для доступа к прочим сайтам, маскируя злоумышленника, и предоставляет доступ к файлам зараженной системы.
Mitglieder.IZ - это троян, внедряемый в системы червем Bagle.JG, который пытается скачать на пораженную систему файлы, выдающие себя за файлы JPG и PHP, но в действительности являющиеся обновлениями Bagle.JG. С этой целью он подключается к нескольким веб-сайтам для того, чтобы искать сетевые серверы eDonkey и копировать себя в сеть. Троян копирует себя в систему под именем Mdelk.exe и создает ключ реестра (Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run), указывающий на mdelk.exe с целью запуска при каждом старте системы.
Bagle.JG - это червь, внедряющий на зараженный компьютер трояна Mitglieder.IZ. Он также пытается снизить безопасность зараженного компьютера, завершая службы утилит безопасности, среди которых антивирусы и брандмауэры. Bagle.JG распространяется через программу P2P eDonkey, копируя себя под именами файлов, собранных Mitglieder.IZ, так чтобы пользователи считали, что это полезный файл. Он вставляет запись в реестр Windows для обеспечения своего запуска при каждом старте системы, и еще одну в Hkey_Current_User\ Software\FirstrRun для отметки компьютера, чтобы знать, заражен он или нет.
BlackAngel.A - это червь, пытающийся завершить процессы, связанные с утилитами безопасности, такими как антивирусы и брандмауэры. Также он блокирует запуск некоторых утилит Windows на зараженном компьютере, среди которых редактор реестра и диспетчер задач. Он распространяется через MSN Messenger, выдавая себя за файл проигрывателя Windows Media Player с двойным расширением, который при запуске выводит на экран сообщение об ошибке и отправляет копию червя на все активные контакты пользователя. Самые разрушительные действия червя заключаются в удалении ряда критических записей реестра Windows, что предотвращает загрузку системы.
DigiKeyGen - это рекламное ПО, размещенное на нескольких веб-страницах, заманивающее пользователей предложением паролей для бесплатного доступа к порнографическому контенту. При запуске он внедряет в систему код под названием SpywareQuake, вместе с одноименным антишпионским приложением. Затем антишпионская программа шантажирует пользователя, сообщая ему, что его компьютер заражен, и единственный способ вылечить его - приобрести лицензию на программу.
DigiKeyGen может быть скачан с нескольких веб-сайтов 'взрослого' содержания, а также с официальной веб-страницы программы. И наконец, рекламная программа создает файл под названием eregperf.exe в папке Windows зараженного компьютеры, вместе с файлом, считающим сколько раз была запущена программа. Он также вводит ключ в запись реестра Hkey_Local_Machine\Software\Microsoft\Windows\Currentversion\ Policies\Explorer\ Run чтобы максимально усложнить ручную дезинфекцию.