Контакты
Подписка
МЕНЮ
Контакты
Подписка

Недельный отчет Panda Software Russia о вирусах и вторжениях

Недельный отчет Panda Software Russia о вирусах и вторжениях

Недельный отчет Panda Software Russia о вирусах и вторжениях


13.06.2006

Темой данного недельного отчета PandaLabs (www.viruslab.ru) стали трояны Ldpinch.RE и Rizalof.DC, backdoor-троян Lootseek.DD, червь Ircbot.ZN и рекламная программа PornMagPass.

Екатеринбург, 13 июня 2006

Ldpinch.RE – это троян, крадущий пароли и другую конфиденциальную информацию с зараженных компьютеров. Чтобы выполнить это, он записывает нажатые пользователем клавиши и выполняет наблюдение за посещенными веб-страницами. Он не способен распространяться автоматически, ему требуется вмешательство пользователя, такое как открытие почтовых вложений, скачивание файлов из Интернета и пиринговых сетей, открытие файлов, полученных через системы обмена мгновенными сообщениями. Его вредоносные действия включают в себя кражу паролей для доступа к операционной системе, с помощью файла Windows SAM (Security Access Manager).  Он также пытается получить пароли, хранимые в таких программах как Outlook и The Bat, и нескольких ICQ-клиентах. Ldpinch.RE также выполняет мониторинг посещенных веб-страниц, и если троян обнаруживает что пользователь открыл страницу определенного банка, он сохраняет введенную информацию. Вся информация, собранная трояном, позднее отправляется злоумышленнику по электронной почте. Троян остается резидентным в системе, информируя своего создателя, что целевой компьютер заражен.

Rizalof.DC – это троян, неспособный распространяться самостоятельно, а внедряемый в системы backdoor-трояном Lootseek.DD. После запуска он превращает компьютер в платформу для отправки спама. Чтобы сделать это он подключается к нескольким веб-страницам для скачивания списков имен и электронных адресов, которые использует в качестве отправителей или получателей спама.

Lootseek.DD - это backdoor-троян, скачивающий и запускающий трояна Rizalof.DC. Чтобы сделать это, он подключается к IRC-серверу, ожидая получения команд от удаленного злоумышленника, например, таких как скачивание потенциально опасных файлов в систему. Для заражения системы ему требуются действия со стороны пользователя - открытие почтовых вложений или скачивание файлов из Интернета/P2P-сетей.  Для того, чтобы избежать обнаружения и уничтожения Lootseek.DD ищет процессы, относящиеся к антивирусным программам и обновлению Windows. И наконец он создает на зараженном компьютере файлы Smss.exe (копию backdoor-трояна), и Nvsvcd.Exe на зараженном компьютере, и регистрирует себя в системе в качестве службы “Windows Log”.

Ircbot.ZN - это червь с backdoor-функциями, распространяющийся с помощью уязвимостей LSASS, RPC DCOM и UPnP в Windows. Он также устанавливает на целевой компьютер FTP-сервер для распространения на прочие системы.  Кроме того, Ircbot.ZN способен распространяться по локальным сетям, используя популярные пароли для получения доступа к ресурсам общего пользователя и копирования себя в них. Червь способен подключаться к IRC-серверу, ожидая получения команд от удаленного злоумышленника, например скачивания файлов или запуска команд.

PornMagPass – это рекламная программа, которую можно скачать с нескольких веб-страниц, предлагающая бесплатный доступ к порнографическому контенту. Во время установки необходимо принять лицензионное соглашение с конечным пользователем, которое санкционирует программе установку плагинов и прочих компонентов. Однако в действительности программа устанавливает на компьютер шпионское ПО, вместе с антишпионским приложением под названием SpywareQuake. Затем она информирует пользователя, что его компьютер заражен, и предлагает приобрести приложение для решения проблемы.  Кроме того, PornMagPass устанавливает плагин к Internet Explorer, перенаправляющий браузер на фальшивую страницу ошибки, и пытается обмануть пользователя, сообщая, что невозможность доступа вызвана рекламной программой, заблокировавшей доступ к запрошенной веб-странице, предлагая ему приобрести решение безопасности для решения проблемы.

Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/download/report2005/

О PandaLabs

С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли

(более подробная информация по адресу:  www.viruslab.ru ).

Контакты:

Любовь Терёхина

Communication Department

PANDA SOFTWARE RUSSIA

Тел.: (343) 378-31-27, 216-36-51/52

E-mail: lubov@viruslab.ru

www.viruslab.ru