|
Недельный отчет Panda Software о вирусах и вторжениях
Также мы уделим внимание трояну Briz.X, заразившему больше 14,000 пользователей, и червям MSNPhoto.A и Ridnu.D.
Екатеринбург, 28 мая 2007г.
Троян Conycspa.AJ предназначен для демонстрации рекламы. С этой целью он изменяет несколько записей реестра Windows и модифицирует результаты онлайновых поисков, совершаемых пользователем. За счет этого троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине.
Также данный вредоносный код подключается к определенному веб-адресу, с которого загружает различные файлы. Среди них mm4839.exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах.
Кроме того, этот троян загружает из интернета большое количество зараженных файлов, содержащих следующее вредоносное ПО: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus2006 и PsKill.J, троянов Stox.A и Cimuz.EI, а также cookie DriveCleaner и MediaPlex.
“Целью вредоносных атак кибер-преступников является получение прибыли. При каждом заражении им удается установить вредоносные коды на компьютерах пользователей, благодаря чему увеличивается вероятность получения прибыли от кражи конфиденциальных данных, посещения веб-страниц, на которых продаются определенные продукты, рассылки спама, компьютерных атак и др.”, объясняет Луис Корронс технический директор PandaLabs
Conycspa.AJ также вносит изменения в реестр Windows, одно из которых обеспечивает трояну запуск при каждой загрузке компьютера. Более того, он создает BHO (объект поддержки браузера - Browser Helper Object), позволяющий ему вести учет интернет-активности пользователя.
Он также модифицирует настройки брандмауэра с целью открытия случайного порта и также автоматического запуска файла win.ini при начале сессии.
Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Таким образом троян защищает созданные им изменения и предотвращает их удаление операционной системой.
Briz.X также сыграл важную роль. PandaLabs обнаружила сервер, который служит хранилищем конфиденциальной информации, украденной трояном. Этот вариант заразил более 14,000 пользователей, и продолжает инфицировать в среднем 500 новых компьютеров в сутки.
Briz.X снабжен модулем синтаксического анализатора, который позволяет кибер-преступникам обрабатывать всю украденную информацию, производить поиск по определенным словам или IP-адресам, а также создавать фильтры для более быстрого поиска необходимых данных.
MSNPhoto.A – это червь, распространяющийся через MSN Messenger. Этот вредоносный код попадает в компьютер в виде иконки или изображения, на самом деле скрывающего исполняемый .exe-файл.
При запуске MSNPhoto.A закрывает все открытые пользователем окна MSN Messenger и рассылает по всем контактам сообщение с предложением открыть файл под названием fotos_posse.zip, который на самом деле является копией червя.
Этот червь также блокирует открытие диспетчера задач, за счет чего предотвращает закрытие MSN Messenger самим пользователем. Также он старается загрузить из интернета несколько файлов. Кроме того, он редактирует реестр Windows, чтобы обеспечить себе загрузку при каждом запуске системы.
“Службы мгновенных сообщений, такие как MSN Messenger, Yahoo!Messenger, AIM, и др., активно используются как домашними пользователями, так и бизнесом. Поэтому сам факт их широкого распространения делает их великолепным средством для распространения вредоносного ПО, которое использует такие службы для того, чтобы проникнуть в как можно большее количество компьютеров,” объясняет Корронс.
Вторым червем в нашем отчете стал Ridnu.D. Этот вредоносный код, как и все остальные варианты семейства Ridnu, занимается демонстрацией надоедливых сообщений. Он, например, заменяет “пуск” на “Mr_CoolFace Has Come!”. Также он изменяет название “Мои документы” на “Mr_CoolFace”, а при каждом открытии Блокнота пользователь видит надпись “Dear my princess”.
Одним из вредоносных действий Ridnu.D является создание нескольких записей в реестре Windows с целью изменения аспекта панели задач Windows Explorer и обеспечения своего запуска при каждой загрузке компьютера.
Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться бесплатными онлайновыми решениями TotalScan или NanoScan beta, которые можно найти по адресу www.infectedornot.com
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru).
www.press-release.ru
Средства защиты компьютера 29-05-2007
Основы построения объединенных сетей по технологиям CISCO 21-10-2008 Средства защиты компьютера
Материалы, которые помогут получить новые знания и повысить профессиональную квалификацию с максимальным для Вас комфортом. В данном курсе рассказывается о таких технологиях как: Ethernet, Token Ring, FDDI, UltraNet, HSSI, PPP и ISDN. Приводятся описания сетевых архитектур Apple Talk, DECnet, протоколов Internet, NetWare, OSI, Banyan VINES и Xerox Network Systems. Так же затронуты такие протоколы как: RIP, IGRP, OSPF, EGP, BGP и OSI. И мног...
Иметь «глаза» и «уши» 16-10-2008 Средства защиты компьютера
Повсеместное распространение и широкая доступность ИТ и телекоммуникаций все чаще оборачивается проблемами в отношении соблюдения политики безопасности предприятий и организаций. Их службам охраны приходится контролировать самые разные ее аспекты, — от физического доступа в помещения до средств связи с внешним миром. На состоявшемся в начале февраля 2008 г. в Москве XIII международном форуме «Технологии безопасности» были представлены разнообра...
Российская Академия естественных наук избрала Чесалова Александра Юрьевича членом корреспондентом Академии по Секции геополитики и безопасности 08-10-2008 Средства защиты компьютера
Российская Академия естественных наук (РАЕН) избрала Чесалова Александра Юрьевича членом корреспондентом Академии по Секции геополитики и безопасности.С 2005 года в компании «КОНЦЕПТУАЛЬНЫЕ СИСТЕМЫ» Александр Юрьевич занимает пост директора по развитию бизнеса, а также является ее основателем.За последние годы под его руководством компания «КОНЦЕПТУАЛЬНЫЕ СИСТЕМЫ» стала одной из ведущих Российских компаний, работающих на отечественном рынке и ры...
|
