Недельный отчет Panda о вирусах и вторжениях

Темой недельного отчета PandaLabs стали трояны Ldpinch.RE и Rizalof.DC, backdoor-троян Lootseek.DD, червь Ircbot.ZN и рекламная программа PornMagPass. Ldpinch.RE - это троян, крадущий пароли и другую конфиденциальную информацию с зараженных компьютеров. Чтобы выполнить это, он записывает нажатые пользователем клавиши и выполняет наблюдение за посещенными веб-страницами.

Он не способен распространяться автоматически, ему требуется вмешательство пользователя, такое как открытие почтовых вложений, скачивание файлов из Интернета и пиринговых сетей, открытие файлов, полученных через системы обмена мгновенными сообщениями. Его вредоносные действия включают в себя кражу паролей для доступа к операционной системе, с помощью файла Windows SAM (Security Access Manager).

Он также пытается получить пароли, хранимые в таких программах как Outlook и The Bat, и нескольких ICQ-клиентах. Ldpinch.RE также выполняет мониторинг посещенных веб-страниц, и если троян обнаруживает что пользователь открыл страницу определенного банка, он сохраняет введенную информацию. Вся информация, собранная трояном, позднее отправляется злоумышленнику по электронной почте. Троян остается резидентным в системе, информируя своего создателя, что целевой компьютер заражен.

Rizalof.DC - это троян, неспособный распространяться самостоятельно, а внедряемый в системы backdoor-трояном Lootseek.DD. После запуска он превращает компьютер в платформу для отправки спама. Чтобы сделать это он подключается к нескольким веб-страницам для скачивания списков имен и электронных адресов, которые использует в качестве отправителей или получателей спама.

Lootseek.DD - это backdoor-троян, скачивающий и запускающий трояна Rizalof.DC. Чтобы сделать это, он подключается к IRC-серверу, ожидая получения команд от удаленного злоумышленника, например, таких как скачивание потенциально опасных файлов в систему. Для заражения системы ему требуются действия со стороны пользователя - открытие почтовых вложений или скачивание файлов из Интернета/P2P-сетей. Для того, чтобы избежать обнаружения и уничтожения Lootseek.DD ищет процессы, относящиеся к антивирусным программам и обновлению Windows. И наконец он создает на зараженном компьютере файлы Smss.exe (копию backdoor-трояна), и Nvsvcd.Exe на зараженном компьютере, и регистрирует себя в системе в качестве службы "Windows Log".

Ircbot.ZN - это червь с backdoor-функциями, распространяющийся с помощью уязвимостей LSASS, RPC DCOM и UPnP в Windows. Он также устанавливает на целевой компьютер FTP-сервер для распространения на прочие системы. Кроме того, Ircbot.ZN способен распространяться по локальным сетям, используя популярные пароли для получения доступа к ресурсам общего пользователя и копирования себя в них. Червь способен подключаться к IRC-серверу, ожидая получения команд от удаленного злоумышленника, например скачивания файлов или запуска команд.

PornMagPass - это рекламная программа, которую можно скачать с нескольких веб-страниц, предлагающая бесплатный доступ к порнографическому контенту. Во время установки необходимо принять лицензионное соглашение с конечным пользователем, которое санкционирует программе установку плагинов и прочих компонентов. Однако в действительности программа устанавливает на компьютер шпионское ПО, вместе с антишпионским приложением под названием SpywareQuake.

Затем она информирует пользователя, что его компьютер заражен, и предлагает приобрести приложение для решения проблемы. Кроме того, PornMagPass устанавливает плагин к Internet Explorer, перенаправляющий браузер на фальшивую страницу ошибки, и пытается обмануть пользователя, сообщая, что невозможность доступа вызвана рекламной программой, заблокировавшей доступ к запрошенной веб-странице, предлагая ему приобрести решение безопасности для решения проблемы.