Panda Software: недельный отчет о вирусах и вторжениях (4 неделя 2007 года)
Темой отчета прошедшей недели стали трояны Alanchum.NX, Cimuz.CM и червь Nuwar.D. Alanchum.NX - троян класса Downloader, загружаемый на компьютеры другим Трояном - Gagar.CG. Как и все коды класса downloader, он способен скачивать файлы из Интернета, устанавливать и запускать их на зараженном компьютере. Alanchum.NX может загружать собственные обновления для лучшего распространения новых версий. Этот троян крадет хранимые на компьютере адреса электронной почты для отправки на них спама. Это заметно по значительному увеличению сетевого трафика, что в свою очередь приводит к ненужным тратам ресурсов. Каждое обновление запрограммировано изменять темы отправляемых сообщений, используя такие как “Fidel Castro Dead” или “Sadam Hussein Alive”, («Фидель Кастро мертв» или «Садам Хусейн жив»), чтобы заставить пользователей открыть письмо. Некоторые версии Alanchum.NX обладают функциями руткита, разработанными для сокрытия выполняемых трояном процессов, и делающими его обнаружение более сложным. Однако разработанная Panda Software технология TruPrevent обнаружила Alanchum.NX и все его версии с момента их появления. Cimuz.CM - это троян, приходящий на компьютер в виде электронного письма, через загруженный из Интернета файл или другими путями. Cimuz.CM специализируется в краже хранимой в системе информации, особенно паролей. При запуске он может отобразить сообщение об ошибке, чем выдать свое присутствие в системе. Оба вредоносных кода разработаны для сбора конфиденциальных данных пользователей, которые могут быть использованы для получения экономической прибыли. Если у пользователей в системе хранятся номера кредитных карт, пароли к Интернет-банкам и прочая конфиденциальная информация, они могут быстро попасть в руки мошенников. Nuwar.D – это червь класса downloader, разработанный для загрузки и запуска различных версий вредоносного ПО, включая собственные обновления. Nuwar.D также создает свои копии в системе. Тема сообщения, в котором приходит червь, меняется от раза к разу, а вложенные файлы являются исполняемым кодом с таким именем, как Flash Postcard.exe или greeting postcard.exe. Для распространения он создает ряд произвольных IP-адресов и пытается подключиться к ним, чтобы внедрить на них свою копию. Он также проверяет, подключены ли пользователи к определенным сетям файлового обмена (P2P). Если это так, Nuwar.D переименовывается, выдавая себя за файл, готовый к загрузке с сетевого сервера, поэтому если пользователь ищет файл, имеющий то же имя, что присвоил себе червь, то вместо загрузки нужного файла он скачает червя.
