Panda Software: недельный отчет о вирусах и вторжениях (29 неделя 2007 года)
На этой неделе в традиционном отчете будут рассмотрены червь Pahooka.A, вирус HiddenXLS.A и троян-шантажист Sinowal.A. Если червь Pahooka.A заразил ваш компьютер, это очень легко обнаружить. Сразу после запуска он заменяет обои вашего рабочего стола на свой вариант – разноцветную звезду на голубом фоне – и копирует себя на все дисковые носители. Затем он изменяет заголовки всех открытых пользователем окон на следующий текст “^_^Anti AntiVirus^_^”. Этот червь содержит код для уничтожения содержимого папок, принадлежащих определенным антивирусным программам. Кроме того, Pahooka.A редактирует реестр таким образом, чтобы скрыть опции Поиск и Запуск в меню Пуск, Свойства папки, опции Панели управления, а также Сетевые подключения и Принтеры и факсы. Он также не позволяет пользователям активировать, деактивировать и редактировать установки восстановления системы. Кроме того, он отключает редактор реестра и диспетчер задач. Pahooka.A периодически подключается к определенным веб-страницам для загрузки на зараженный компьютер другого вредоносного ПО, а также активируется при каждой загрузке системы или запуске программы с расширением .exe. Далее рассмотрим второй вредоносный код, привлекший наше внимание на этой неделе - HiddenXLS.A. Этот вирус поражает файлы Excel. HiddenXLS.A производит на зараженном компьютере и дисковых носителях поиск всех файлов с расширением .xls и добавляет в начале таких файлов еще один исполняемый файл, затем изменяет их расширения на .exe, чтобы при каждой попытке пользователя открыть такой файл сначала запускался вредоносный код. Последним рассмотрим трояна-шантажиста Sinowal.FY. Sinowal.FY зашифровывает файлы пользователей таким образом, чтобы они не могли ими воспользоваться, а затем требует заплатить выкуп за предоставление утилиты и ключа для расшифровки файлов. После проникновения в компьютер Sinowal.FY создает текстовый файл, содержащий его требования: если зараженный пользователь не заплатит создателю вредоносного кода $300, он не сможет восстановить зашифрованные файлы. “Здесь, в лаборатории, мы уже сталкивались с многочисленными образцами кодов-шантажистов, наиболее печально известными из них стали Ransom.A и варианты семейства PGPCoder. Arhiveus.A был одним из наиболее любопытных образцов, поскольку он не просил у пользователей денег, но требовал, чтобы они покупали товары в определенной онлайновой аптеке”, - объясняет Луис Корронс, технический директор PandaLabs.
