Panda Software: недельный отчет о вирусах и вторжениях (25 неделя 2006 года)
В своем еженедельном отчете компания расскажет пользователям о новых угрозах, среди которых черви Bagle.JP, Bagle.JQ и Sixem.A, троян Downloader.JFN, backdoor-троян Breplibot.R, шпионская программа Browsezilla и уязвимость, найденная в HLINK.DLL. Черви Bagle.JP и Bagle.JQ родом из семейства Bagle, чьи первые представители появились в 2004 году. Основной характеристикой этого семейства червей являлась способность массированного распространения по электронной почте и огромное количество версий, выпущенных создателями. Новые версии Bagle.JP и Bagle.JQ распространяются в защищенном паролем zip-файле, вложенном в электронное письмо, которое также содержит изображение gif с паролем, нужным для открытия файла. Инфекция происходит, когда пользователь открывает zip-файл с помощью предоставленного пароля и запускает файл. Оба червя собирают электронные адреса с зараженного компьютера для того, чтобы распространяться к другим пользователям и обладают функциями руткитов для сокрытия своих файлов, процессов и записей в реестре. Кроме того, они отключают ряд процессов, относящихся к утилитам безопасности, таким как антивирусы и брандмауэры. Sixem.A – это почтовый червь, использующий тему Кубка Мира FIFA в качестве приманки. При запуске он скачивает на компьютер трояна Downloader.JGP. Он пытается заставить пользователей открыть изображение, якобы отображающее 'кубок мира среди нудистов', которое в действительности является исполняемым файлом с двойным расширением. Во избежание обнаружения, Sixem.A отключает ряд процессов, связанных с безопасностью системы, включая процессы антивирусов и брандмауэров. Downloader.JFN – это троян, использующий до сих пор неисправленную уязвимость в Microsoft Excel, способную позволять запуск произвольного кода на компьютере. Троян заражает системы с помощью файла Excel, созданного специально для этой уязвимости. При открытии вредоносного файла Excel, Downloader.JFN внедряется в процесс Internet Explorer и после этого скачивает и запускает другого трояна. Троян не способен распространяться самостоятельно, ему требуется действие пользователя для заражения компьютера (открытие почтового вложения или файла, скачанного с веб-сайта). Breplibot.R - это backdoor-троян, открывающий коммуникационный порт на компьютере и подключающихся к IRC-серверу для получения команд, позволяющих осуществлять удаленный контроль над зараженным компьютером. Троян делает запрос команде netsh для того, чтобы его не заблокировал брандмауэр. Breplibot.R требует действий со стороны пользователя для распространения (напр. открытия почтового вложения или файла, скачанного с веб-сайта или P2P-сетей). Этот червь был обнаружен вложенным в сообщения, ссылающиеся на мнимую нефтяную аферу с участием Джорджа Буша и Тони Блэра. Browsezilla – это Интернет-браузер, который можно скачать с многочисленных веб-страниц. При инсталляции он устанавливает на компьютер рекламное ПО PicsPlace которое, в свою очередь, подключает пользователей, без их ведома, к определенным веб-страницам ‘для взрослых’. Это действие «накручивает» счетчик посещений для этих сайтов, что в свою очередь приносит прибыль владельцам сайтов и создателям Browsezilla. Последствия установки этого браузера для пользователей выражаются в неконтролируемом потреблении пропускной способности сети, вызванном скрытым подключением к этим веб-страницам. Кроме того, пользователи могут быть несправедливо обвинены в посещении этих порнографических сайтов. На прошедшей неделе PandaLabs также предупреждала об уязвимости, недавно открытой в библиотеке HLINK.DL, используемой несколькими программами Microsoft Office, такими как Microsoft Excel. Были обнаружены эксплойты этой уязвимости, способные заражать компьютере с помощью специально созданного файла Excel. Этот документ может распространяться по электронной почте или скачиваться с веб-сайта. В настоящий момент для этой уязвимости нет заплатки, поэтому пользователям рекомендуется проявлять осторожность в отношении любых полученных файлов Excel, вне зависимости от их источника.
