Недельный отчет о вирусах от Panda
В данном недельном отчете будут рассмотрены черви Sober.J, Bropia.E и Gaobot.CTX, а также троянцы Trojans Locknut.A и Downloader.ALQ.
Sober.J - это новая версия семейства червей Sober, очень похожая на своих предшественников. Она распространяется по электронной почте в сообщении либо на английском, либо на немецком языке в зависимости от домена получателя. Более того, она подменяет адрес отправителя письма.
Если пользователь запускает вложение, Sober.J ищет электронные адреса в файлах с определенными расширениями на зараженном компьютере, и рассылает себя по ним, используя собственный SMTP-механизм. Червь также пытается выполнять прочие действия, например, производить доступ к почтовым POP3 аккаунтам, принадлежащим широко известному немецкому провайдеру, скачивать обновления вредоносного ПО через Интернет или восстанавливать ключи реестра, измененные прочими вредоносными кодами.
Bropia.E и Gaobot.CTX это два червя, которые распространяются вместе. Bropia.E рассылает себя, используя программу обмена мгновенными сообщениями MSN Messenger, притворяясь файлом изображения с изменяющимся именем, выбираемым из длинного списка вариантов, и с расширением .pif или .scr. Некоторые примеры названий этого файла: bedroom-thongs.pif, LMAO.pif or LOL.scr. Если пользователь запускает файл, он отображает изображение жареного цыпленка на экране. Однако изображение - это всего лишь прикрытие для маскировки настоящих действий, выполняемых червем. Вредоносный код рассылает себя по всем контактам MSN Messenger и создает на компьютере различные файлы, включая файл под названием winhost.exe, в действительности содержащий червя Gaobot.CTX.
Gaobot.CTX выполняет действия, которые представляют серьезнейшую угрозу для компьютера, так как он подключается к IRC-каналам и ждет команд от удаленного пользователя. Это позволяет хакеру скачивать все виды файлов на пораженный компьютер: шпионское и рекламное ПО, прочие вирусы и т.д.
Locknut.A - это троянец, который поражает только сотовые телефоны, использующие операционные системы Symbian 7.0S и более поздние. Этот вредоносный код пытается обмануть пользователя, выдавая себя за программную ‘заплатку´ для сотового телефона. После своего запуска, Locknut.A заменяет компоненты операционной системы, что мешает запуску некоторых приложений и блокирует телефон. Некоторые версии Locknut.A также устанавливают копию Cabir.A, другого червя, нацеленного на мобильные устройства.
Наконец, Downloader.ALQ - новый член большого семейства троянцев Downloader. Как остальные версии, этот вредоносный код разработан скачивать и запускать все виды вредоносных кодов в системе, в основном шпионское ПО.