Недельный отчет Panda Software Russia о вирусах и вторжениях

Недельный отчет Panda Software Russia о вирусах и вторжениях

Отчет Panda Software Russia (www.viruslab.ru) о вирусах и вторжениях прошедшей недели четко демонстрирует новые тенденции вредоносных программ. Два образца вредоносного кода, описываемых в данном отчете, нацелены исключительно на мошенничество и кражу данных, а два прочих обладают функциями руткитов.

Екатеринбург, 27 марта 2006.

Как пример внедряемой и практикуемой хакерами новой бизнес-модели, мы сегодня рассмотрим Nabload.CC. Этот троян, скачивающий с определенной страницы другого трояна - Banker.CJA, способен обходить брандмауэр Windows XP. Поэтому он способен осуществлять неограниченный доступ к Интернету.

Троян Banker.CJA захватывает информацию доступа к нескольким онлайновым банкам. Он поджидает, пока пользователь посетит сайт одного из нескольких онлайновых банков. После того, как пользователь введет свои данные на сайте, троян помешает ему войти на настоящую веб-страницу. Вместо этого он покажет ее имитацию.

Если пользователь снова введет свои данные, решив что он попросту ошибся, Banker.CJA запишет его имя пользователя и пароль. Затем он отправит собранную информацию на определенные URL, позволяя хакерам получать доступ к счетам онлайновых банков жертвы.

Другой вредоносный код, нацеленный на финансовую прибыль для своего создателя, - Briz.C, Троян, разработанный для кражи паролей. Этот троян имеет несколько компонентов, которые последовательно скачиваются из Интернета. Эти компоненты выполняют ряд действий, таких как остановка и отключение брандмауэра Windows XP, запрещение доступа к сайтам определенных антивирусных компаний, сбор паролей для учетных записей электронной почты, банков и прочих онлайновых сервисов, и т.д.

Briz.C не способен распространяться автоматически, и поэтому в распространении полагается на злоумышленника, как и большинство троянов. Эта характеристика присуща целевым атакам - методике, которая анализируется и описывается Panda Software Russia в официальном отчете, который можно скачать по адресу: http://www.viruslab.ru/do wnload/report2005/.

В отношении руткитов, PandaLabs сообщает о Gurong.A – черве, пытающемся скачать файлы с нескольких IP-адресов. Эти файлы являются копиями червя, однако не имеющими всех его функций.

Gurong.A обладает некоторыми типичными для руткитов функциями, что позволяет ему скрывать процессы, файлы и записи реестра Windows. Эта ситуация является потенциально опасной для зараженных пользователей, поскольку хакеры могут воспользоваться ей для сокрытия процессов. Технология превентивной защиты TruPrevent™, включенная в решения Panda Software, смогла обнаружить этот код, предотвратив его использование в качестве руткита, не требуя специализированных антируткитовых утилит.

Последний код в сегодняшнем отчете - еще одна версия ветерана Bagle, в данном случае версия HX. Этот червь пытается отключить ряд служб, относящихся к антивирусам и приложениям безопасности. После установки он подключается к нескольким веб-страницам для скачивания файла.

Один из файлов, создаваемых в зараженной системе - m_hook.sys – устанавливается в качестве службы и является руткитом, скрывающий созданные Bagle.HX файлы и записи реестра.

Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/download/report2005/.

Убедитесь, что Ваш компьютер чист от вирусов с помощью бесплатного онлайнового антивируса: Panda ActiveScan (http://www.viruslab.ru/service/check/).