Panda Software: недельный отчет о вирусах и вторжениях
В настоящем отчете будут рассмотрены четыре версии троянца Mitglieder (FK, FL, FN и FM), массово распространявшиеся по электронной почте в течение этой недели и вызвавшие массовые заражения компьютеров во многих странах мира, а также червь Bagle.FN.
Екатеринбург, 7 ноября 2005
По данным Panda ActiveScan, бесплатного онлайнового антивируса компании Panda Software (www.viruslab.ru), четыре упомянутые выше версии Mitglieder стали наиболее часто обнаруживаемыми угрозами по всему миру. Первая появившаяся версия -FK- распространяется в электронных письмах с пустым заголовком и текстом, содержащим слова "Texte" или "Info". Сообщение содержит вложенный файл с расширением .zip (Например: Health_and_knowledge, Sms_txt, Max, Business, The_new_price, Info_prices или Business_dealing). Архив содержит .EXE файл, который при запуске устанавливает на компьютер Mitglieder.FK.
Версии Mitglieder FK, FL и FN обладают следующими общими особенностями:
- После установки на компьютер, они пытаются, скачать файл с различных веб-страниц, используя PHP-скрипт. После скачивания, они сохраняют его – используя в качестве имени файла произвольную цифру – в подпапке EXEFLD директории Windows, а затем запускают его.
- Затем троянец создает файл HLOADER_EXE.EXE – это копия самого троянца, который в свою очередь генерирует файл HLEADER_DLL.DLL при следующем запуске компьютера. Он внедряется в процесс EXPLORER.EXE и отвечает за выполнение действий троянца.
На компьютерах зараженных Mitglieder FM болкируется доступ к определенным веб-страницам, в частности принадлежащим антивирусным компаниям; отключаются системные службы, относящиеся к нескольким антивирусам и продуктам безопасности; удаляются утилиты редактирования реестра Windows.
Bagle.FN - червь, который отправляет копию троянца Mitglieder.FK на все адреса, собранные на зараженном компьютере.
Bagle.FN распространяется в электронном сообщении, которое пытается обманом заставить пользователей поверить в то, что вложенный файл является программой, изображением и т.д. Он также распространяется через Интернет, атакуя IP-адреса (которые получает произвольным методом или из сети зараженного компьютера) путем эксплуатации бреши в безопасности или через открытый порт.
Bagle.FN пытается скачать с различных сайтов несколько файлов для их последующего запуска на компьютере и удаляет из реестра Windows записи, принадлежащие другим образчикам вредоносного ПО.
Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software на www.viruslab.ru.
О лаборатории PandaLabs
С 1990 года миссией антивирусной лаборатории стал как можно более оперативный анализ новых угроз во имя защиты наших клиентов. Несколько команд экспертов, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным Av.Test.org, PandaLabs в настоящий момент является самой быстрой лабораторией по предоставлению обновлений пользователям во всей отрасли.
По данным Panda ActiveScan, бесплатного онлайнового антивируса компании Panda Software (www.viruslab.ru), четыре упомянутые выше версии Mitglieder стали наиболее часто обнаруживаемыми угрозами по всему миру. Первая появившаяся версия -FK- распространяется в электронных письмах с пустым заголовком и текстом, содержащим слова "Texte" или "Info". Сообщение содержит вложенный файл с расширением .zip (Например: Health_and_knowledge, Sms_txt, Max, Business, The_new_price, Info_prices или Business_dealing). Архив содержит .EXE файл, который при запуске устанавливает на компьютер Mitglieder.FK.
Версии Mitglieder FK, FL и FN обладают следующими общими особенностями:
- После установки на компьютер, они пытаются, скачать файл с различных веб-страниц, используя PHP-скрипт. После скачивания, они сохраняют его – используя в качестве имени файла произвольную цифру – в подпапке EXEFLD директории Windows, а затем запускают его.
- Затем троянец создает файл HLOADER_EXE.EXE – это копия самого троянца, который в свою очередь генерирует файл HLEADER_DLL.DLL при следующем запуске компьютера. Он внедряется в процесс EXPLORER.EXE и отвечает за выполнение действий троянца.
На компьютерах зараженных Mitglieder FM болкируется доступ к определенным веб-страницам, в частности принадлежащим антивирусным компаниям; отключаются системные службы, относящиеся к нескольким антивирусам и продуктам безопасности; удаляются утилиты редактирования реестра Windows.
Bagle.FN - червь, который отправляет копию троянца Mitglieder.FK на все адреса, собранные на зараженном компьютере.
Bagle.FN распространяется в электронном сообщении, которое пытается обманом заставить пользователей поверить в то, что вложенный файл является программой, изображением и т.д. Он также распространяется через Интернет, атакуя IP-адреса (которые получает произвольным методом или из сети зараженного компьютера) путем эксплуатации бреши в безопасности или через открытый порт.
Bagle.FN пытается скачать с различных сайтов несколько файлов для их последующего запуска на компьютере и удаляет из реестра Windows записи, принадлежащие другим образчикам вредоносного ПО.
Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software на www.viruslab.ru.
О лаборатории PandaLabs
С 1990 года миссией антивирусной лаборатории стал как можно более оперативный анализ новых угроз во имя защиты наших клиентов. Несколько команд экспертов, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным Av.Test.org, PandaLabs в настоящий момент является самой быстрой лабораторией по предоставлению обновлений пользователям во всей отрасли.