Недельный отчет о вирусах и вторжениях
В отчете и вирусах и вторжениях прошлой недели мы рассмотрим две версии семейства Mydoom: S и R, а также тесно с ними связанного трояна Surila.B.
Екатеринбург, 23 августа 2004.
Версии S и R червя MyDoom имеют следующие общие характеристики:
- Они распространяются по электронной почте с темой "photos" и содержат приложение под именем "PHOTOS_ARC.EXE". Когда пользователь открывает этот файл, черви загружаются на компьютер и запускают троян, определяемый Panda Software как Surila.B.
- Они открывают и прослушивают различные порты для предоставления атакующему возможности доступа и вторжения на компьютер (нарушая конфиденциальность данных пользователя и мешая нормальной работе компьютера).
- Не позволяют пользователям получить доступ к веб страницам определенных антивирусных компаний.
- Создают мьютекс 43jfds93872 для обеспечения одновременного функционирования только одной копии червя.
- Черви ищут файлы со следующими расширениями: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB, TXT или WAB-, а также электронные адреса, содержащие определенные сочетания текстовых символов. Если они их находят, версии червя Mydoom используют свой SMTP механизм для рассылки собственных копий на эти адреса.
Различия между Mydoom.S и Mydoom.R в размере файлов, в которых они скрыты, а также в размере файла RASOR38A.DLL (который они создают на зараженном компьютере).
Заканчивает сегодняшний отчет Surila.B. Как было упомянуто выше, этот Троян загружается и запускается червями Mydoom.S и Mydoom.R.
Поражает Surila.B компьютеры с платформой Windows 2003/XP/2000/NT, позволяя хакерам получить доступ и совершить вторжение, например, рассылая спам с поддельными адресами отправителя. Для этого он использует список имен и фамилий, которые сочетает с одним из следующих почтовых доменов: aol.com, gmx.net, hotmail.com, mail.com, msn.com, t-online.de, yahoo.co.uk и yahoo.com.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Версии S и R червя MyDoom имеют следующие общие характеристики:
- Они распространяются по электронной почте с темой "photos" и содержат приложение под именем "PHOTOS_ARC.EXE". Когда пользователь открывает этот файл, черви загружаются на компьютер и запускают троян, определяемый Panda Software как Surila.B.
- Они открывают и прослушивают различные порты для предоставления атакующему возможности доступа и вторжения на компьютер (нарушая конфиденциальность данных пользователя и мешая нормальной работе компьютера).
- Не позволяют пользователям получить доступ к веб страницам определенных антивирусных компаний.
- Создают мьютекс 43jfds93872 для обеспечения одновременного функционирования только одной копии червя.
- Черви ищут файлы со следующими расширениями: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB, TXT или WAB-, а также электронные адреса, содержащие определенные сочетания текстовых символов. Если они их находят, версии червя Mydoom используют свой SMTP механизм для рассылки собственных копий на эти адреса.
Различия между Mydoom.S и Mydoom.R в размере файлов, в которых они скрыты, а также в размере файла RASOR38A.DLL (который они создают на зараженном компьютере).
Заканчивает сегодняшний отчет Surila.B. Как было упомянуто выше, этот Троян загружается и запускается червями Mydoom.S и Mydoom.R.
Поражает Surila.B компьютеры с платформой Windows 2003/XP/2000/NT, позволяя хакерам получить доступ и совершить вторжение, например, рассылая спам с поддельными адресами отправителя. Для этого он использует список имен и фамилий, которые сочетает с одним из следующих почтовых доменов: aol.com, gmx.net, hotmail.com, mail.com, msn.com, t-online.de, yahoo.co.uk и yahoo.com.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.viruslab.ru/
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.