20 лет
Еженедельный отчет Panda Software о вирусах и вторжениях
В отчете этой недели рассматривается червь FormShared.A, трояны Banker.FOH и Banbra.DMW.
FormShared.A - это червь, целью которого является распространение трояна SpyForms.S через файлообменные программы P2P.
Для достижения своей цели, FormShared.A использует собственного P2P клиента. Он создает подкаталог с названием SHARED в папке Windows. Там создается ряд файлов с ложными именами для того, чтобы побудить других пользователей добровольно скачать SpyForms.S. Чаще всего, имена у файлов такие: 4SCREENS V3.19 BY MP2K.CZIP, 4T AV V1.8 CD-VERSION FOR PALMOS.CZIP, 4T PUBLICATION 1.2 FOR PALMOS.CZIP, или 4TEAM FOR MICROSOFT OUTLOOK 2002 V1.50.0202 RETAIL.CZIP.
Banker.FOH - это троян, предназначенный для кражи с зараженного компьютера конфиденциальной информации. Например, имен пользователей и паролей. Делается это путем копирования нажатых клавиш, сохранения и последующей отправки информации по электронной почте.
Если Banker.FOH запускается на компьютере без подключения к Интернету, выдается окно ошибки со следующим текстом: Socket Error # 11004.
Как и большинство других троянов, Banker.FOH не может распространять себя сам, поэтому он нуждается в пользователе-злоумышленнике. Используемые средства распространения: гибкие диски, CD-ROM, почтовые сообщения с вложениями, закачка по Интернету, файлы, передаваемые по FTP, IRC каналы, файлообменные сети типа P2P и т.д.
Banbra.DMW представляет собой трояна, предназначенного для кражи конфиденциальных данных у пользователей хорошо известного бразильского банка. Что интересно, это «одноразовая вредоносная программа», которая на каждом зараженном ею компьютере может выполняться только один раз.
Всякий раз, когда заражается компьютер, Banbra.DMW посылает автору трояна почтовое сообщение, в котором указаны имя пользователя и время заражения компьютера. После того, как эта процедура проделана, вирус «захватывает» Internet Explorer и ждет, когда пользователь зайдет на веб-страницу банка. Далее, Banbra.DMW отправляет пользователя на фальшивую веб-страницу, созданную самим трояном, которая имитирует оригинальную страницу.
Наконец, вредоносный код собирает украденные данные и посылает их по электронной почте, давая злоумышленнику возможность совершать кражу идентификационных данных и онлайновое мошенничество.
Все пользователи, которые желают знать, не заражен ли их компьютер одним из этих вредоносных кодов, могут воспользоваться бесплатным онлайновым антивирусом ActiveScan по адресу: http://www.viruslab.ru/service/check/. Пользователи могут бесплатно выполнить полную проверку всех разделов своих компьютеров.
