Недельный отчет Panda Software по вирусам и вторжениям
Oscarbot. IV, Peerbot. B и Netsad. B черви – предмет сообщения лаборатории PandaLabs на этой неделе.
Oscarbot. IV – червь, который открывает несколько портов коммуникации на зараженных компьютерах, позволяя хакерам, организующим атаку получить отдаленный доступ к системе. Это также позволяет Protestor.A Trojan действовать в системе, которая может завладеть скриншотами и украсть пользовательские данные. Oscarbot. IV распространенный через America On Line Instant Messenger, посылает сообщения всем активным пользовательским контактам. Во время действия, он установливаеться в системе под названием “Windows Genuine Advantage Validation Notification“, пробуя выдавать себя как средство против пиратства Microsoft и гарантируя работу при каждом запуске системы.
Peerbot. B может открыть доступ, чтобы получить необходимые команды от хакера через IRC. Он также может также украсть данные с Сервера SQL или баз данных Mysql на компьютере, который отсылает их через электронную почту адресату. При запуске, червь создает несколько файлов на системе, подобных Taskdrv.exe (копия червя) и Libmysql.dll, библиотека, принадлежащая базе данных Mysql. Peerbot. B может распространяться через электронную почту или используя программы P2P. Он создает многочисленные файлы в разделенных папках в программах P2P под названиями, которые внедряются в уязвимые места известных приложений и игр. Когда другие пользователи программы P2P запускали поиск, они могли найти зараженные файлы первого пострадавшего вследствие подобной деятельности среди результатов. Чтобы избегнуть обнаружения, Peerbot. B сокращает длинный список процессов, связанных главным образом с инструментами безопасности, брандмауэрами или даже другими угрозами. Это также изменяет хост файл, чтобы блокировать доступ к веб-страницам, связанным с продуктами безопасности.
Netsad. B – червь, который распространяется как приложение электронной почты, используя сообщения, типа “разделение файлов – смысл жизни”. Он также использует некоторые приложения P2P, включая Kazaa или Emule, создавая себе копии в разделенных папках так, чтобы это могло быть загружено другими пользователями. Netsad.B может только работать, если компьютер имеет Microsoft .NET framework 2.0. Во время действия, он создает копию winservices.cab.bak.exe в папке системы Windows. Он также создает свои копии с разнообразием названий, включая некоторые связанные с антивирусами, в других двигателях системы. Чтобы оставаться скрытым, червь заканчивает ряд связанных с безопасностью процессов, оставляя компьютер, уязвимым, для дальнейших атак.
