ВИРУСОЛОГИЯ: W32.Lafee и Clampi.a
За неделю компания Symantec опубликовала пять описаний новых вредоносных программ, из которых наиболее опасной является вирус W32.Lafee. Он дописывает свое тело в конец всех файлов с расширением .exe и .scr и вместе с этими файлами может перемещаться с машины на машину. Запустившись на новой машине он вставляет свой код в процесс explorer.exe и начинает инфицировать другие файлы на данной машине. Вирус ворует уонфиденциальную информацию на машине и отсылает своим владельцам, а также может скачивать из сети свои новые компоненты. "Лаборатория Касперского" опубликовала за неделю только одно описание вредоносной программы - Clampi.a. Это многофункциональный вредонос, который собирает на компьютере всю конфиденциальную информацию, пытается подменить банковские страница, которые расположены по адресам www.hsbc.co.uk, www.mybusinessbank.co.uk и investing.schwab.com. Для автозапуска троянец вставляет свой вызов в соответствующую ветку реестра. Кроме того, вредонос скачивает обновления с сайтов, список которых хранит в реестре по адресу HKCU\Software\Microsoft\Internet Explorer\Settings"GatesList" Вредонос активно распространяется в корпоративной среде с помощью разделяемых каталогов, а также используя сетевые ресурсы ipc$ и admin$. Для запуска на удаленной машине используется легитимное ПО psexec.exe компании Sysinternals.
публикации сходной тематики
- У пользователей, установивших Windows XP SP3, появились новые проблемы
- Троян Clampi угрожает пользователям платежных систем и клиентам банков
- Новый троян угрожает пользователям платежных систем и клиентам банков
- Microsoft устранила “дыру” в Internet Explorer
- Хакеры выдают червя за Internet Explorer 7