Заголовок: Недельный отчет Panda Software о вирусах и вторжениях
Компания: Panda Software Russia
В отчете на этой неделе будут рассмотрены два червя Mydoom.BH и Crowt.B и троянец
Downloader.BHV
Екатеринбург, 28 марта 2005
Mydoom.BH - это почтовый червь, который также может распространяться через сети
обмена файлами P2P KaZaA. После проникновения на компьютер и своего запуска он
скачивает страницу с веб-сайта с кодом, который сохраняется в системную директорию
Windows в виде исполняемого файла с названием TEMP1.EXE. Он также отображает
экран, относящийся к антивирусу, чтобы отвлечь внимание пользователя.
Для распространения по электронной почте он отсылает себя на все контакты в адресной
книге Outlook, используя собственный SMTP механизм. Имя, которое выводится как
отправитель электронного письма, фальсифицировано, и сообщение содержит вложенный
файл с вредоносным кодом.
Кроме использования электронной почты Mydoom.BH также создает свою копию в директории
общего пользования KaZaA, расположение которой он получает из реестра Windows.
Эта копия имеет произвольное имя и расширение, выбранное из списка наименований,
спроектированных для привлечения внимания пользователей KaZaA.
Другие пользователи этой программы могут получать удаленный доступ к директории
общего пользования, и добровольно скачивать на свой компьютер файлы, созданные
Mydoom.BH, думая, что они являются интересными программами и т.д. В действительности
они скачивают копию червя. Когда они запускают скачанный файл, их компьютеры
заражаются Mydoom.BH.
Второй червь в отчете - Crowt.B - обладает backdoor-способностями и рассылает
себя по электронной почте, используя собственный SMTP-механизм. Он получает адреса,
на которые рассылает себя из списка контактов, хранимого на компьютере пользователя.
Он позволяет выполнение удаленных команд на зараженном компьютере и кражу информации
с него. Червь также несет в себе дополнительную угрозу, так как работает и как
кейлоггер, записывая нажатия клавиш и похищая вводимые пароли. Для того чтобы
скрыть свое присутствие Crowt.B вставляет свой код в другие программы.
И наконец мы рассмотрим троянца Downloader.BHV. Этот вредоносный код скачивает
и устанавливает рекламные программы на зараженный компьютер.
Downloader.BHV требует вмешательства атакующего для распространения и не может
распространяться самостоятельно. Им используются различные каналы распространения,
включая дискеты, компакт-диски, электронные письма с вложениями, скачиваемые
из Интернета файлы, скачанное из FTP, пиринговые системы обмена файлами (P2P)
и т.д.
При своем запуске он скачивает с нескольких веб-сайтов 5 исполняемых файлов,
замаскированных под GIF-файлы, которые он запускает на зараженной системе. Чтобы
избежать обнаружения, он использует несколько простейших методов (во время работы
кода создаются определенные текстовые строки).
Для более подробной информации об этих и прочих компьютерных угрозах посетите
Вирусную Энциклопедию Panda Software: http://www.viruslab.ru
О PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к
работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются
следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д.
Если проанализированный таким образом файл действительно содержит новый вирус,
немедленно подготавливаются необходимые средства для обнаружения и обезвреживания
вредоносного кода, которые быстро распространяются среди пользователей.
Контактная информация:
------------------------------
Контактное лицо: Брылина Вероника
PR-менеджер
E-mail: veronica@viruslab.ru
Телефон: +7 343 378 31 27