Статьи
articles
меню Екатеринбург, 16 апреля 2007г.
На долю Cimuz.EL пришлось до 57% всех полученных образцов вредоносном ПО, ежечасно поступающих в PandaLabs на прошлой неделе.
Cimuz.EL предназначен для кражи с компьютеров всех видов паролей. Данный вредоносный код распространяется поэтапно. Сначала компьютер заражается частью кода, который затем дозагружает остальные компоненты трояна, которые уже выполняют на компьютере наиболее вредоносные действия: крадет и сохраняет информацию о зараженном компьютере (пароли к электронной почте и другим программам, данные об аппаратном и программном обеспечении, IP, месторасположении и др.), а также встраивает DLL в Internet Explorer и собирает все данные, которые пользователи вводят в онлайновых формах.
Всю полученную информацию Cimuz.EL затем периодически пересылает через веб-сервер своему создателю.
Вторым мы рассмотрим трояна Gogo.A - новый вредоносный код, предназначенный для кражи данных, которые пользователи вводят с клавиатуры в интернете. Для этого он устанавливается в виде дополнительного модуля Internet Explorer и ведет учет активности пользователя. Когда пользователь набирает какие-либо ключевые слова, Gogo.A активируется и начинается записывать нажатия на клавиши.
Затем с помощью веб-страницы, Gogo.A переправляет собранную информацию своему создателю. Этот троян также использует свойства руткита для того, чтобы скрыть свои процессы и избежать обнаружения, за счет чего становится еще более опасным.
“Кража паролей, которая является целью двух этих троянов, как раз в ключе новой динамики вредоносного ПО. С помощью полученной информации кибер-преступники могут получить доступ к конфиденциальной информации или банковским счетам. Всё чаще трояны используются именно с такими целями, поскольку эти коды действуют более скрыто по сравнению с другими – например, фишингом”, объясняет Луис Корронс, технический директор PandaLabs.
UsbStorm.A – это червь, который распространяется путем копирования самого себя на съемные носители, например карты памяти USB. Когда один из таких носителей подключают к компьютеру, червь активируется и заражает ПК. UsbStorm.A записывается в память компьютера, где и прячется в ожидании новых накопителей для распространения.
Он остается на компьютере и старается обновиться за счет загрузки своих новых версий с различных веб-страниц.
Nurech.Z – это червь, который попадает в компьютеры вместе с электронными сообщениями под различными заголовками, связанными с массовым распространением вредоносного ПО: Нападение червей!, Шпионская тревога! Вирусная тревога! и др. В качестве отправителя указана ‘Поддержка клиентов (Customer Support)’, чтобы пользователь поверил, что сообщение пришло из надежного источника.
Червь прячется в защищенном паролем .zip-файле, прикрепленном к сообщению, и выдает себя за патч безопасности для защиты от вредоносного ПО, которое предположительно и стало причиной тревоги. Пароль содержится в файле в формате .gif, а не в текстовом файле, чтобы затруднить обнаружение.
“Для того, чтобы не вызвать подозрения, создатель этого кода объясняет, что патч был заархивирован якобы для защиты от действий червя. Таким образом, он пытается обмануть доверчивых пользователей и убедить их открыть файл”, объясняет Корронс.
Nurech.Z также служит для завершения процессов некоторых решений безопасности, мониторинга и отладки.
Он ищет в компьютере адреса электронной почты для рассылки зараженных сообщений. Более того, червь имеет в своем составе два руткита: один из них помогает скрывать процессы для затруднения обнаружения, а другой ищет электронные адреса, создает файлы .gif с паролями и рассылает спамовые сообщения.
Microsoft опубликовала апрельские патчи безопасности: их пять, причем четыре из них получили оценку “критических”.
Первый из них устраняет две уязвимости в Microsoft Content Management Server. Третья брешь находится в Universal Plug and Play, и ей подвержены только системы Windows XP, четвертая брешь была обнаружена в Microsoft Agent и свойственна последним версиям Windows, за исключением Vista. Пятая уязвимость была найдена в CSRSS (Windows Client/Server Runtime Server Subsystem), ей подвержены последние версии Windows, включая Vista и Vista x64.
Все вышеперечисленные уязвимости позволяют злоумышленникам запускать код или удаленно контролировать целевые компьютеры.
Пятый патч, который был назван не “Критическим”, а просто “Важным”, исправляет уязвимость в ядре Windows. Эта брешь безопасности может быть использована удаленным хакером для повышения привилегий на зараженном компьютере.
Все обновления можно загрузить по адресу: http://www.microsoft.com/technet/security/bulletin/ms07-apr.mspx
Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться Panda ActiveScan, бесплатным онлайновым решением, которое можно найти по адресу: http://www.viruslab.ru/service/check/ Он позволяет пользователям тщательно просканировать свои компьютеры.
Вы также можете воспользоваться бета-версией NanoScan (www.nanoscan.com), онлайнового сканера, который выявляет все активное вредоносное ПО на компьютере менее чем за 60 секунд.
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru).
Warning: in_array() [function.in-array]: Wrong datatype for second argument in /www/vhosts/myprotect.ru/html/af5748c3e4694c156c22d17be35c8e82/sape.php on line 192
|
|
