Panda Software: недельный отчет о вирусах и вторжениях (26 неделя 2006 года)
Предметом очередного отчета лаборатории прошедшей недели стали: червь Kelvir.EO, вирус Kukudro.A и троян Downloader.JIH. Kelvir.EO – это червь с функциями backdoor. Он распространяется, используя определенные уязвимости Windows в службах LSASS, RPC DCOM, Workstation service и Plug and Play, а затем передает свою копию, используя собственный FTP-сервер. После того, как он заразил компьютер, червь устанавливает руткит Ruffle.A чтобы скрыть свои действия от пользователя. Червь подключается к IRC-серверу, который, в свою очередь, подключается к каналу для того, чтобы выполнять команды (например, сбор паролей, хранимых в Защищенном Хранилище, в т.ч. пароли Outlook и Internet Explorer). Kelvir.EO также позволяет злоумышленникам завершать процессы, получать данные с зараженных систем и обновлять/уничтожать код червя. Kukudro.A – это макро-вирус, внедряющий на зараженные компьютеры трояна Downloader.JIH, создавая копию трояна в виде файла 66INSE_1.EXE в корневой директории жесткого диска. Для этого он использует старую уязвимость, описанную в бюллетене MS01-34. Он пытается избежать предупреждения безопасности о включенных в Word-документ макросах и обеспечить автоматический запуск собственного кода. Kukudro.A не может распространяться автоматически, ему требуются действия со стороны пользователя. Вирус распространяется в электронных сообщениях во вложении My_notebook.doc. Данный файл содержит характеристики ряда различных ноутбуков. И, наконец, Downloader.JIH - это троян, скачивающий на компьютеры вирус Sality.S. Этот вирус заражает исполняемые файлы и способен завершать процессы безопасности и выполнять сбор системной информации. После запуска трояна, он подключается к ряду веб-страниц для скачивания исполняемого файла, который затем сохраняется на зараженный компьютер под произвольным именем. Downloader.JIH не способен распространяться автоматически, а внедряем другим вредоносным кодом, в данном случае Kukudro.A, или должен быть запщен пользователями (скрываясь под видом почтового вложения или файла, скачанного из Интернета или P2P-сетей).
