Заголовок: Недельный отчет о вирусах и вторжениях
Компания: Panda Software Russia
Сегодняшний отчет посвящен семи червям: четырем версиям Mydoom (T, U, V и W),
Mywife.D, Mywife.C и Sdbot.AQA, и двум программам adware: Neededware и Wupd.
Екатеринбург, 10 сентября 2004
Mydoom.T, Mydoom.U, Mydoom.V и Mydoom.W распространяются по электронной почте
с различными характеристиками. Версия “T” также использует для размножения программу
обмена файлами KazaA P2P, копируя самого себя с привлекательными именами в общую
папку приложений.
Версии U, V и W Mydoom подключаются к нескольким веб сайтам, с которых они пытаются
загрузить файл (Троянец) и установить его на компьютер. Mydoom.T открывает
приложение Блокнот и выводит на экран искаженный текст.
Следующие черви из нашего отчета – это Mywife.D и Mywife.C, которые также распространяются
по электронной почте в сообщении с различными характеристиками. Оба эти вируса
имеют следующие черты:
- Через несколько секунд после запуска они блокируют компьютер, т.к. они потребляют
все доступное время процессора.
- Они удаляют файлы, принадлежащие нескольким антивирусным программам, если они
установлены в тех же директориях, что и указанные в коде вируса. Они также удаляют
записи в Реестре Windows, принадлежащие этим антивирусным программам, таким образом,
что эти приложения не могут быть запущены автоматически в следующий раз, когда
Windows будет запущен. Они также пытаются найти и закончить процессы антивирусов
и других программ компьютерной безопасности. Это делает компьютер уязвимым для
атак других вредоносных кодов.
- Они также удаляют записи, принадлежащие другим червям, такие как Mydoom.A,
Mimail.T и несколько версий Bagle.
- Они открывают Windows Media Player.
Последний червь этого отчета - Sdbot.AQA, который распространяется по компьютерной
сети. Это происходит путем проверки ПК на подключение к сети. Если компьютер
подключен, червь пытается получить доступ и скопировать себя в общие сетевые
ресурсы, пробуя стандартные или простые пароли.
Sdbot.AQA позволяет хакерам получить удаленный доступ к зараженному компьютеру
для исполнения на нем действий, которые нарушат конфиденциальность пользователя
и помешают нормальной работе компьютера. Sdbot.AQA использует свой собственный
клиент IRC для подключения к каналу IRC и принятия команд удаленного контроля,
такие как DoS (распределенные отказы от обслуживания) веб сайтов. Также он может
загрузить и запустить файлы на зараженном компьютере.
Заканчиваем сегодняшний отчет программами adware Neededware и Wupd. Эти программы
позволяют программам загрузиться и запуститься без согласия пользователя. Легко
определить нахождение этих программ на Вашем компьютере, т.к. они выводят на
экран рекламные сообщения. Wupd также прослеживает Интернет активность и результаты
отображения на экране рекламы.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной
Энциклопедии Panda Software по адресу: http://www.viruslab.ru/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к
работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются
следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д.
если проанализированный таким образом файл действительно содержит новый вирус,
немедленно подготавливаются необходимые средства для обнаружения и обезвреживания
вредоносного кода, которые быстро распространяются среди пользователей.
Контактная информация:
------------------------------
Контактное лицо: Брылина Вероника
PR-менеджер
E-mail: veronica@viruslab.ru
Телефон: +7 343 378 31 27