Черви Bagle.JP, Bagle.JQ и Sixem.A, троян Downloader.JFN, backdoor-троян Breplibot.R, шпионская программа Browsezilla, и уязвимость, найденная в HLINK.DLL, рассматриваются в данном недельном отчете PandaLabs (www.viruslab.ru).
Екатеринбург, 26 июня 2006. Черви Bagle.JP и Bagle.JQ родом из семейства Bagle, чьи первые представители появились в 2004 году. Основной характеристикой этого семейства червей являлась способность массированного распространения по электронной почте и огромное количество версий, выпущенных создателями. Новые версии Bagle.JP и Bagle.JQ распространяются в защищенном паролем zip-файле, вложенном в электронное письмо, которое также содержит изображение gif с паролем, нужным для открытия файла. Инфекция происходит, когда пользователь открывает zip-файл с помощью предоставленного пароля и запускает файл. Оба червя собирают электронные адреса с зараженного компьютера для того, чтобы распространяться к другим пользователям и обладают функциями руткитов для сокрытия своих файлов, процессов и записей в реестре. Кроме того, они отключают ряд процессов, относящихся к утилитам безопасности, таким как антивирусы и брандмауэры.
Sixem.A – это почтовый червь, использующий тему Кубка Мира FIFA в качестве приманки. При запуске он скачивает на компьютер трояна Downloader.JGP. Он пытается заставить пользователей открыть изображение, якобы отображающее -кубок мира среди нудистов-, которое в действительности является исполняемым файлом с двойным расширением. Во избежание обнаружения, Sixem.A отключает ряд процессов, связанных с безопасностью системы, включая процессы антивирусов и брандмауэров.
Downloader.JFN – это троян, использующий до сих пор неисправленную уязвимость в Microsoft Excel, способную позволять запуск произвольного кода на компьютере. Троян заражает системы с помощью файла Excel, созданного специально для этой уязвимости. При открытии вредоносного файла Excel, Downloader.JFN внедряется в процесс Internet Explorer и после этого скачивает и запускает другого трояна. Троян не способен распространяться самостоятельно, ему требуется действие пользователя для заражения компьютера (открытие почтового вложения или файла, скачанного с веб-сайта).
Breplibot.R - это backdoor-троян, открывающий коммуникационный порт на компьютере и подключающихся к IRC-серверу для получения команд, позволяющих осуществлять удаленный контроль над зараженным компьютером. Троян делает запрос команде netsh для того, чтобы его не заблокировал брандмауэр. Breplibot.R требует действий со стороны пользователя для распространения (напр. открытия почтового вложения или файла, скачанного с веб-сайта или P2P-сетей). Этот червь был обнаружен вложенным в сообщения, ссылающиеся на мнимую нефтяную аферу с участием Джорджа Буша и Тони Блэра.
Browsezilla – это Интернет-браузер, который можно скачать с многочисленных веб-страниц. При инсталляции он устанавливает на компьютер рекламное ПО PicsPlace которое, в свою очередь, подключает пользователей, без их ведома, к определенным веб-страницам ‘для взрослых’. Это действие "накручивает" счетчик посещений для этих сайтов, что в свою очередь приносит прибыль владельцам сайтов и создателям Browsezilla. Последствия установки этого браузера для пользователей выражаются в неконтролируемом потреблении пропускной способности сети, вызванном скрытым подключением к этим веб-страницам. Кроме того, пользователи могут быть несправедливо обвинены в посещении этих порнографических сайтов.
На прошедшей неделе PandaLabs (www.viruslab.ru) также предупреждала об уязвимости, недавно открытой в библиотеке HLINK.DL, используемой несколькими программами Microsoft Office, такими как Microsoft Excel. Были обнаружены эксплойты этой уязвимости, способные заражать компьютере с помощью специально созданного файла Excel. Этот документ может распространяться по электронной почте или скачиваться с веб-сайта. В настоящий момент для этой уязвимости нет заплатки, поэтому пользователям рекомендуется проявлять осторожность в отношении любых полученных файлов Excel, вне зависимости от их источника.
Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/press/analytic/ Там же доступен материал по безопасности Wi-Fi соединений.
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).
Контакты:
Любовь Терёхина/Lubov Teruokhina
Communication Department
PANDA SOFTWARE RUSSIA
Тел.: (343) 378-31-27, 216-36-51/52
E-mail: lubov@viruslab.ru