Недельный отчет Panda Software о вирусах и вторжениях
На этой неделе в традиционном отчете PandaLabs рассматривается опасного трояна Conycspa.AJ, который загружает на компьютеры девять вредоносных кодов. А также троян Briz.X, заразившему больше 14 000 пользователей, и черви MSNPhoto.A и Ridnu.D. Троян Conycspa.AJ предназначен для демонстрации рекламы. С этой целью он изменяет несколько записей реестра Windows и модифицирует результаты онлайновых поисков, совершаемых пользователем. За счет этого троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине.
Также данный вредоносный код подключается к определенному веб-адресу, с которого загружает различные файлы. Среди них mm4839.exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах. Кроме того, этот троян загружает из интернета большое количество зараженных файлов, содержащих следующее вредоносное ПО: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus2006 и PsKill.J, троянов Stox.A и Cimuz.EI, а также cookie DriveCleaner и MediaPlex.
Conycspa.AJ также вносит изменения в реестр Windows, одно из которых обеспечивает трояну запуск при каждой загрузке компьютера. Более того, он создает BHO (объект поддержки браузера - Browser Helper Object), позволяющий ему вести учет интернет-активности пользователя. Он также модифицирует настройки брандмауэра с целью открытия случайного порта и также автоматического запуска файла win.ini при начале сессии.
Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Таким образом троян защищает созданные им изменения и предотвращает их удаление операционной системой. Briz.X также сыграл важную роль. PandaLabs обнаружила сервер, который служит хранилищем конфиденциальной информации, украденной трояном. Этот вариант заразил более 14 000 пользователей, и продолжает инфицировать в среднем 500 новых компьютеров в сутки.
Briz.X снабжен модулем синтаксического анализатора, который позволяет кибер-преступникам обрабатывать всю украденную информацию, производить поиск по определенным словам или IP-адресам, а также создавать фильтры для более быстрого поиска необходимых данных. MSNPhoto.A – это червь, распространяющийся через MSN Messenger. Этот вредоносный код попадает в компьютер в виде иконки или изображения, на самом деле скрывающего исполняемый .exe-файл.
При запуске MSNPhoto.A закрывает все открытые пользователем окна MSN Messenger и рассылает по всем контактам сообщение с предложением открыть файл под названием fotos_posse.zip, который на самом деле является копией червя. Этот червь также блокирует открытие диспетчера задач, за счет чего предотвращает закрытие MSN Messenger самим пользователем. Также он старается загрузить из интернета несколько файлов. Кроме того, он редактирует реестр Windows, чтобы обеспечить себе загрузку при каждом запуске системы.
Вторым червем в отчете стал Ridnu.D. Этот вредоносный код, как и все остальные варианты семейства Ridnu, занимается демонстрацией надоедливых сообщений. Он, например, заменяет “пуск” на Mr_CoolFace Has Come!. Также он изменяет название “Мои документы” на Mr_CoolFace, а при каждом открытии Блокнота пользователь видит надпись Dear my princess. Одним из вредоносных действий Ridnu.D является создание нескольких записей в реестре Windows с целью изменения аспекта панели задач Windows Explorer и обеспечения своего запуска при каждой загрузке компьютера.
Также данный вредоносный код подключается к определенному веб-адресу, с которого загружает различные файлы. Среди них mm4839.exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах. Кроме того, этот троян загружает из интернета большое количество зараженных файлов, содержащих следующее вредоносное ПО: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus2006 и PsKill.J, троянов Stox.A и Cimuz.EI, а также cookie DriveCleaner и MediaPlex.
Conycspa.AJ также вносит изменения в реестр Windows, одно из которых обеспечивает трояну запуск при каждой загрузке компьютера. Более того, он создает BHO (объект поддержки браузера - Browser Helper Object), позволяющий ему вести учет интернет-активности пользователя. Он также модифицирует настройки брандмауэра с целью открытия случайного порта и также автоматического запуска файла win.ini при начале сессии.
Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Таким образом троян защищает созданные им изменения и предотвращает их удаление операционной системой. Briz.X также сыграл важную роль. PandaLabs обнаружила сервер, который служит хранилищем конфиденциальной информации, украденной трояном. Этот вариант заразил более 14 000 пользователей, и продолжает инфицировать в среднем 500 новых компьютеров в сутки.
Briz.X снабжен модулем синтаксического анализатора, который позволяет кибер-преступникам обрабатывать всю украденную информацию, производить поиск по определенным словам или IP-адресам, а также создавать фильтры для более быстрого поиска необходимых данных. MSNPhoto.A – это червь, распространяющийся через MSN Messenger. Этот вредоносный код попадает в компьютер в виде иконки или изображения, на самом деле скрывающего исполняемый .exe-файл.
При запуске MSNPhoto.A закрывает все открытые пользователем окна MSN Messenger и рассылает по всем контактам сообщение с предложением открыть файл под названием fotos_posse.zip, который на самом деле является копией червя. Этот червь также блокирует открытие диспетчера задач, за счет чего предотвращает закрытие MSN Messenger самим пользователем. Также он старается загрузить из интернета несколько файлов. Кроме того, он редактирует реестр Windows, чтобы обеспечить себе загрузку при каждом запуске системы.
Вторым червем в отчете стал Ridnu.D. Этот вредоносный код, как и все остальные варианты семейства Ridnu, занимается демонстрацией надоедливых сообщений. Он, например, заменяет “пуск” на Mr_CoolFace Has Come!. Также он изменяет название “Мои документы” на Mr_CoolFace, а при каждом открытии Блокнота пользователь видит надпись Dear my princess. Одним из вредоносных действий Ridnu.D является создание нескольких записей в реестре Windows с целью изменения аспекта панели задач Windows Explorer и обеспечения своего запуска при каждой загрузке компьютера.