Недельный отчет Panda Software о вирусах и вторжениях

Aiphone.A – это троян, который пользуется появлением iPhone для кражи банковских данных пользователей. Именно эта тема и станет основной в отчете PandaLabs на этой неделе. Кроме того, рассматривается Hairy.A - червь, имеющий отношение к Гарри Поттеру, и червь PornWorm.A, который завлекает пользователей порнографией. Для кражи банковских данных пользователя, Aiphone.A устанавливается на компьютер под видом BHO (объект консультативной поддержки браузера - Browser Helper Object). Когда зараженный пользователь пытается посетить официальную страницу iPhone, троян перенаправляет его на поддельную веб-страницу. Для покупки телефона пользователю придется ввести свои банковские данные, которые напрямую попадают в руки создателя вредоносного ПО.

Троян попадает в компьютеры в виде вложения в электронное сообщение или как часть интернет-загрузки. Hairy.A – это червь, который вносит изменения в систему, при этом отключая важные приложения безопасности, такие как брандмауэр Windows, инструменты управления реестром и утилиты для восстановления системы. В определенное время и при запуске системы этот червь выбрасывает раздражающие сообщения. Одно из таких сообщений, появляющееся в текстовом документе при запуске трояна, гласит: "Гарри Поттер мертв". Кроме того, при каждой загрузке системы червь демонстрирует сообщение в окне MS-DOS с оскорблениями в адрес создавшей Гарри Поттера Джоан Роулинг.

После перезагрузки в системе появляются три новых "пользователя", которые носят имена главных героев книг о Гарри Поттере. Hairy.A создает в системе свою копию под названием HarryPotter-TheDeathlyHallows.exe, которая время от времени самопроизвольно запускается, чтобы вновь заразить компьютер. Червь распространяется путем создания своих копий на любых носителях, название которых находится между буквами C: и J:. В случае подключения к компьютеру съемного носителя, червь немедленно запускается и заражает его.

PornWorm.A – это червь, который для своего распространения использует порнографию. Этот червь копирует себя в директории, принадлежащие приложениям для совместного использования ресурсов, под различными эротическими названиями и с расширением jpg.rar. Сразу же после разархивации, копии приобретают такие названия, как Gratis_Sex.exe или Free _Porno_ Access. PornWorm.A создает запись в реестре Windows для того, чтобы запускаться при каждой загрузке системы. Кроме того, он создает в системе несколько своих копий и подключается к определенной URL, чтобы загрузить на компьютер другие вредоносные программы.