Недельный отчет Panda Software о вирусах и вторжениях
На этой неделе в традиционном отчете PandaLabs рассмотриваются трояны Cimuz.EL и Gogo.A, а также два червя: UsbStorm.A и Nurech.Z. Кроме того, на этой неделе Microsoft выпустила 5 новых патчей безопасности.
На долю Cimuz.EL пришлось до 57% всех полученных образцов вредоносном ПО, ежечасно поступающих в PandaLabs на прошлой неделе.
Cimuz.EL предназначен для кражи с компьютеров всех видов паролей. Данный вредоносный код распространяется поэтапно. Сначала компьютер заражается частью кода, который затем дозагружает остальные компоненты трояна, которые уже выполняют на компьютере наиболее вредоносные действия: крадет и сохраняет информацию о зараженном компьютере (пароли к электронной почте и другим программам, данные об аппаратном и программном обеспечении, IP, месторасположении и др.), а также встраивает DLL в Internet Explorer и собирает все данные, которые пользователи вводят в онлайновых формах.
Всю полученную информацию Cimuz.EL затем периодически пересылает через веб-сервер своему создателю.
Троян Gogo.A - новый вредоносный код, предназначенный для кражи данных, которые пользователи вводят с клавиатуры в интернете. Для этого он устанавливается в виде дополнительного модуля Internet Explorer и ведет учет активности пользователя. Когда пользователь набирает какие-либо ключевые слова, Gogo.A активируется и начинается записывать нажатия на клавиши.
Затем с помощью веб-страницы, Gogo.A переправляет собранную информацию своему создателю. Этот троян также использует свойства руткита для того, чтобы скрыть свои процессы и избежать обнаружения, за счет чего становится еще более опасным.
“Кража паролей, которая является целью двух этих троянов, как раз в ключе новой динамики вредоносного ПО. С помощью полученной информации кибер-преступники могут получить доступ к конфиденциальной информации или банковским счетам. Всe чаще трояны используются именно с такими целями, поскольку эти коды действуют более скрыто по сравнению с другими – например, фишингом”, - объясняет Луис Корронс, технический директор PandaLabs.
UsbStorm.A – это червь, который распространяется путем копирования самого себя на съемные носители, например карты памяти USB. Когда один из таких носителей подключают к компьютеру, червь активируется и заражает ПК. UsbStorm.A записывается в память компьютера, где и прячется в ожидании новых накопителей для распространения.
Он остается на компьютере и старается обновиться за счет загрузки своих новых версий с различных веб-страниц.
Nurech.Z – это червь, который попадает в компьютеры вместе с электронными сообщениями под различными заголовками, связанными с массовым распространением вредоносного ПО: Нападение червей!, Шпионская тревога! Вирусная тревога! и др. В качестве отправителя указана ‘Поддержка клиентов (Customer Support)’, чтобы пользователь поверил, что сообщение пришло из надежного источника.
Червь прячется в защищенном паролем .zip-файле, прикрепленном к сообщению, и выдает себя за патч безопасности для защиты от вредоносного ПО, которое предположительно и стало причиной тревоги. Пароль содержится в файле в формате .gif, а не в текстовом файле, чтобы затруднить обнаружение.
“Для того, чтобы не вызвать подозрения, создатель этого кода объясняет, что патч был заархивирован якобы для защиты от действий червя. Таким образом, он пытается обмануть доверчивых пользователей и убедить их открыть файл”, - объясняет Корронс.
Nurech.Z также служит для завершения процессов некоторых решений безопасности, мониторинга и отладки.
Он ищет в компьютере адреса электронной почты для рассылки зараженных сообщений. Более того, червь имеет в своем составе два руткита: один из них помогает скрывать процессы для затруднения обнаружения, а другой ищет электронные адреса, создает файлы .gif с паролями и рассылает спамовые сообщения.
Microsoft опубликовала апрельские патчи безопасности: их пять, причем четыре из них получили оценку “критических”.
Первый из них устраняет две уязвимости в Microsoft Content Management Server. Третья брешь находится в Universal Plug and Play, и ей подвержены только системы Windows XP, четвертая брешь была обнаружена в Microsoft Agent и свойственна последним версиям Windows, за исключением Vista. Пятая уязвимость была найдена в CSRSS (Windows Client/Server Runtime Server Subsystem), ей подвержены последние версии Windows, включая Vista и Vista x64.
Все вышеперечисленные уязвимости позволяют злоумышленникам запускать код или удаленно контролировать целевые компьютеры.
Пятый патч, который был назван не “Критическим”, а просто “Важным”, исправляет уязвимость в ядре Windows. Эта брешь безопасности может быть использована удаленным хакером для повышения привилегий на зараженном компьютере.