Недельный отчет Panda Software о вирусах и вторжениях
На этой неделе отчет антивирусной лаборатории PandaLabs о вирусах и вторжениях фокусируется на нескольких, очень разных, кодах.
Мы рассмотрим вирусы ASPLux.A и Dengis.A; троянца Snifsteal.A и потенциально нежелательную программу Prokeylogger.
ASPLux.A – вирус, не обладающий разрушительными функциями. Его главной целью является распространение путем включения своего кода в файлы ASPX, используемые во многих веб-страницах. Для заражения вирус ищет файл ASPX, лежащий в основе созданной пользователем веб-страницы, и внедряет свой код. В результате, некоторые из файлов ASPX становятся непригодными к использованию. Зараженные файлы помечаются как “” для того, чтобы исключить повторное заражение.
Для своего распространения, вирус также поражает другие файлы путем включения своего кода в файлы ASPX, найденные в определенной директории на зараженном компьютере. Для проникновения в компьютер вирус использует обычные каналы заражения: Дискеты, компакт-диски, электронные сообщения с вложениями, скачиваемые из Интернета файлы, содержимое FTP, IRC-каналы, пиринговые системы обмена файлами (P2P) и т.д.
Следующим мы рассмотрим вирус Dengis.A, который также не содержит вредоносных эффектов. Он поражает исходники в программе для решения математических задач ‘Matlab’. Для этого вирус создает COM-объект с использованием функции ‘actxserver’. Далее, такой объект позволяет произвести выполнение кода, отсутствующего в составе вируса. Dengis.A использует псевдо-полиморфное шифрование на основе операции XOR и ключа, который изменяется для каждого заражения.
Snifsteal.A - троянец, состоящий из модифицированной версии расширения для Mozilla под названием NumberedLinks 0.9, которое является компонентом браузера Mozilla и используется для перехода по ссылкам на веб-страницах с помощью клавиатуры, а не мыши.
Этот троянец собирает информацию, которую пользователи вводят в формах (через Firefox), например, пароли для программы обмена мгновенными сообщениями ICQ, FTP-сервера и почтовых клиентов IMAP и POP3. Такие данные затем пересылаются создателю кода. Он подключается к http://81.96.133/sutra/in.cgi4_, чтобы проверить, не были ли данные загружены ранее.
В конце отчета мы обратим внимание на Prokeylogger – потенциально нежелательную программу или ПНП (PUP). Данная программа отслеживает нажатые пользователем клавиши, собирая информацию о паролях и записывая скриншоты. Она также может следить за удаленными десктопами и веб-камерами, буфером обмена, электронной почтой, чатами и мгновенными сообщениями. Собранная информация хранится в лог-файле, который затем рассылается по электронной почте или FTP в HTML- или RTF-формате.