Недельный отчет Panda Software Russia о вирусах и вторжениях: червь CrazyFrog.A крадет банковские данные
В данном недельном отчете PandaLabs описываются черви CrazyFrog.A и Nugache.A, трояны Banker.CTD, LootSeek.AU и вирус Matlab/Lagob.
CrazyFrog.A – это червь, распространяющийся по системе обмена мгновенными сообщениями MSN Messenger и разработанный специально для того, чтобы красть пароли доступа к этому приложению и банковские данные зараженного пользователя. Для этого он наблюдает за сетевым трафиком и проверяет, не открыл ли пользователь веб-страницы с определенными текстовыми строками, относящимися к онлайновым банковским сервисам в их адресе. Если пользователь открывает одну из таких страниц, Crazyfrog.A устанавливает трояна, который похищает вводимые пользователем данные.
Nugache.A может распространяться тремя различными способами: эксплуатируя известные программные уязвимости LSSAS и RPC DCOM, через популярное приложение MSN Messenger и через электронную почту. При установке на компьютер, Nugache.A создает свою копию в системной директории Windows, в файле с именем MSTC.EXE. В дополнение, он генерирует несколько записей в реестре Windows. Сделав это, он открывает ряд коммуникационных портов для подключения к нескольким IP-адресам, с которых получает удаленные инструкции через P2P-сети, что позволяет злоумышленнику выполнять на зараженной системе вредоносные действия.
Banker.CTD - новый банковский троян, который, как и схожие с ним трояны, разработан для кражи конфиденциальных данных, необходимых для доступа к онлайновым банковским сервисам.
Banker.CTD ожидает, пока пользователь не откроет веб-страницы определенных банков, среди которых Banking, Bradesco, NetBanking, Santander и Sudameris, с целью записи вводимых пользователем данных. Затем он отправляет данные на определенный электронный адрес. Для проникновения в компьютер, Banker.CTD требуется вмешательство злоумышленника. Возможными распространителями могут быть: дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы, содержимое FTP, IRC-каналы, пиринговые системы обмена файлами (P2P) и т.д.
LootSeek.AU – это троян, который в свою очередь скачивает другого трояна - Rizalof.BL – на инфицированный компьютер. Он также использует анонимный прокси-сервер для массированной рассылки нового вредоносного ПО. Кроме того, он завершает несколько процессов утилит безопасности и обновления Windows.
И наконец, Matlab/Lagob – это вирус, способный заражать файлы с расширением M – соответствующем популярному приложению решения математических задач Matlab. При этом вирус добавляет свой код в начало файла.