Пресс-релизы. Интернет-бизнес Недельный отчет о вирусах

Заголовок: Недельный отчет о вирусах

Компания: Panda Software Russia

Екатеринбург, 24 января 2005 года 
 
Bropia.A распространяется через MSN Messenger. Он осуществляет это, включая поиск
класса приложения  'IMWindowClass', и если находит его, рассылает себя с одним
из следующих имен: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif
и love_me.pif. 
 
После запуска Bropia.A ищет в %systemdir% файлы со следующими именами: adaware.exe,
VB6.EXE, lexplore.exe и Win32.exe. Если их не существует, он создает файл, содержащий
копию версии Gaobot. Bropia.A генерирует несколько пустых файлов в пути %systemdir%
и открывает их для предотвращения запуска процессов taskmgr.exe и cmd.exe. Также
Bropia.A отключает комбинацию клавиш CTRL+ALT+Del и может отключать использование
правой кнопки мыши.  
 
Zar.A распространяется по электронной почте в сообщении на тему цунами, произошедшего
в Азии в декабре 2004. Заголовок и текст сообщения апеллируют к помощи жертвам,
а вложение называется TSUNAMI.EXE. После запуска файла компьютер заражается Zar.A,
который, используя MAPI, посылает свои копии по всем адресам в адресной книге
Outlook. 
 
Zar.A создает три файла и генерирует запись в реестре Windows для обеспечения
своего запуска при каждой загрузке компьютера. Червь также пытается произвести
DoS-атаки (Denial of Service) против веб-сайта www.hacksector.de. 
 
Следующий червь, рассматриваемый сегодня - Mydoom.AE, который распространяется
в письмах с изменяющимися характеристиками, а также через сети файлового обмена
P2P. 
 
После заражения компьютера Mydoom.AE выполняет следующие действия: 
 
- Открывает Блокнот и отображает текст, состоящий из произвольных символов. 

 
- Изменяет HOSTS-файл для предотвращения доступа пользователей к веб-страницам
определенных антивирусных компаний. Он также завершает процессы, принадлежащие
определенным антивирусным программам, оставляя компьютер уязвимым к атакам со
стороны прочих вредоносных программ.  
 
- Завершает процессы, принадлежащие вредоносным программам. 
 
- Пытается скачать файл из Интернет. 
 
Мы заканчивает сегодняшний отчет упоминанием Gaobot.batch, который является пакетным
файлом, удаляющим оригинальный файл Gaobot после его инсталляции на компьютер.

 
Для большей информации по этим и прочим компьютерным угрозам, посетите Вирусную
Энциклопедию Panda Software: http://www.viruslab.ru  
 
 
Дополнительная информация 
 
- Пакетные / BAT файлы: Файлы с расширением BAT, позволяющие автоматизацию операций.

 
- MAPI (Messaging Application Program Interface): Система, используемая для предоставления
программам возможности посылать и получать email через определенную систему сообщений.

 
Более подробная информация: http://www.pandasoftware.com/virus_info/glossary/default.aspx

 
 
About PandaLabs 
 
Получив подозрительный файл, технический персонал Panda Software приступает к
работе.  Полученный файл анализируется, и, в зависимости от его типа, предпринимаются
следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д.
Если проанализированный таким образом файл действительно содержит новый вирус,
немедленно подготавливаются необходимые средства для обнаружения и обезвреживания
вредоносного кода, которые быстро распространяются среди пользователей.

Контактная информация:
------------------------------
Контактное лицо:   Брылина Вероника
PR-менеджер
E-mail:         veronica@viruslab.ru
Телефон:        +7 343 378 31 27