Показано с 1 по 3 из 3.

Недельный отчет Panda Software о вирусах и вторжениях

  1. #1
    Geser
    Guest

    Lightbulb Недельный отчет Panda Software о вирусах и вторжениях

    Червь Mytob.LX рассылается в электронных сообщениях, сообщающих пользователям, что для продления пользования услугами определенной компании безопасности они должны посетить некую веб-страницу (якобы для подтверждения своего электронного адреса). Однако если пользователь посещает этот сайт, на его компьютер скачивается файл Confirmation_Sheet.pif, который является копией червя Mytob.LX.

    После установки, червь ищет на компьютере электронные адреса (во временных файлах Интернета, адресной книге и файлах с определенными расширениями), содержащие определенные текстовые строки. Затем он отсылает себя на найденные адреса, используя собственный SMTP-движок. Для связи с удаленными SMTP-серверами, Mytob.LX добавляет к почтовому домену один из следующих префиксов: gate, mail1, mail, mx, mx1, mxs, ns, relay и smtp.

    Mytob.LX открывает лазейку (backdoor) для подключения к IRC-серверу, с целью получения команд управления. Червь также завершает различные процессы, при условии их активности. Некоторые из этих процессов принадлежат антивирусным решениям. Он также изменяет hosts-файл для того, чтобы запретить пользователю доступ к различным сайтам, принадлежащим антивирусным компаниям.

    Вторая угроза в отчете – backdoor-Троян Ryknos.G, который, подобно всем троянам, не способен к самостоятельному распространению (распространяется через электронную почту, скачиваемые из Интернета данные, файловые передачи через FTP и пр.). Чтобы избежать обнаружения, он не запускается на компьютерах с именем "sandbox" и с именем пользователя "CurrentUser" (эти данные обычно используются на компьютерах, осуществляющих сбор и анализ вредоносного ПО).

    Ryknos.G выполняет на заражаемых компьютерах различные действия, включая следующие:

    - Он завершает процессы, принадлежащие различным брандмауэрам и антивирусам, оставляя компьютер без защиты.

    - Подключается к IRC-каналу #ran2 для получения удаленных команд управления.

    - Генерирует несколько записей в реестре Windows для обеспечения своего запуска при каждом запуске Windows.

    Завершается данный отчет Трояном Downloader.GPH, отображающим сообщение об ошибке при запуске. Он скачивает файл, который в свою очередь скачивает и запускает на компьютере несколько червей и еще один Троян.

    Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Geser
    Чтобы избежать обнаружения, он не запускается на компьютерах с именем "sandbox" и с именем пользователя "CurrentUser" (эти данные обычно используются на компьютерах, осуществляющих сбор и анализ вредоносного ПО).
    1. откуда автор знает, что именно такие данные применяются ловителями вирусов? это что, международное соглашение? или он пользуется внутренней информацией компании Панда?
    2. неужели ловители вирусов такие дураки, что пользуются только такими данными в настройках???

  4. #3
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    52
    норман сандбокс - да Такой он дурной.. в моем X-Rate такая защита уже давно от эмуляции
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01255 seconds with 16 queries