Panda Software: недельный отчет о вирусах и вторжениях (30 неделя 2006 года)
В данном отчете антивирусной лаборатории о вирусах и вторжениях внимание уделено нескольким очень разным кодам. Будут рассмотрены вирусы ASPLux.A и Dengis.A; троянец Snifsteal.A и потенциально нежелательная программа Prokeylogger. ASPLux.A – вирус, не обладающий разрушительными функциями. Его главной целью является распространение путем включения своего кода в файлы ASPX, используемые во многих веб-страницах. Для заражения вирус ищет файл ASPX, лежащий в основе созданной пользователем веб-страницы, и внедряет свой код. В результате, некоторые из файлов ASPX становятся непригодными к использованию. Зараженные файлы помечаются как “!-- LUX --” для того, чтобы исключить повторное заражение. Для своего распространения, вирус также поражает другие файлы путем включения своего кода в файлы ASPX, найденные в определенной директории на зараженном компьютере. Для проникновения в компьютер вирус использует обычные каналы заражения: Дискеты, компакт-диски, электронные сообщения с вложениями, скачиваемые из Интернета файлы, содержимое FTP, IRC-каналы, пиринговые системы обмена файлами (P2P) и т.д. Следующим будет рассмотрен вирус Dengis.A, который также не содержит вредоносных эффектов. Он поражает исходники в программе для решения математических задач ‘Matlab’. Для этого вирус создает COM-объект с использованием функции ‘actxserver’. Далее такой объект позволяет произвести выполнение кода, отсутствующего в составе вируса. Dengis.A использует псевдо-полиморфное шифрование на основе операции XOR и ключа, который изменяется для каждого заражения. Snifsteal.A - троянец, состоящий из модифицированной версии расширения для Mozilla под названием NumberedLinks 0.9, которое является компонентом браузера Mozilla и используется для перехода по ссылкам на веб-страницах с помощью клавиатуры, а не мыши. Этот троянец собирает информацию, которую пользователи вводят в формах (через Firefox), например, пароли для программы обмена мгновенными сообщениями ICQ, FTP-сервера и почтовых клиентов IMAP и POP3. Такие данные затем пересылаются создателю кода. Он подключается к http://81.9blocked6.133/sutra/in.cgi4_, чтобы проверить, не были ли данные загружены ранее. В конце отчета обратим внимание на Prokeylogger – потенциально нежелательную программу или ПНП (PUP). Данная программа отслеживает нажатые пользователем клавиши, собирая информацию о паролях и записывая скриншоты. Она также может следить за удаленными десктопами и веб-камерами, буфером обмена, электронной почтой, чатами и мгновенными сообщениями. Собранная информация хранится в лог-файле, который затем рассылается по электронной почте или FTP в HTML- или RTF-формате.
