ВИРУСОЛОГИЯ: Gosys и ZBOT.MYS
Компания Symantec опубликовала за прошедшую неделю сведения о десяти вредоносных программах, из которых наиболее опасной признана W32.Gosys. Она является червем, который распространяется через общие папки и съемные носители. Этот червь открывает доступ внешним злоумышленникам к компьютеру жертвы. При заражении он много файлов съгружает на атакованный компьютер, причем он помещает в директорию system32 собственный исполнимый файл explorer.exe и определяет для него автозапуск. Название, использованное червем, затрудняет его поиск. Червь также сгружает свою зашифрованную конфигурацию с одного из внешних сайтов, может выполнять загружаемые программы, перехватывать конфиденциальную информацию и пересылать ее на адреса разработчиков, а также перехватывает регистрационные данные с сайтов Gmail и Yahoo! Mail. Лечение червя затруднено тем, что он использует много различных способов автозапуска. Компания Trend Micro опубликовала на этой неделе только одно описание программы-шпиона ZBOT.MYS, ссылка на который распространяется через MySpace. Шпион устанавливает себя под именем sdra64.exe и конфигурирует для этой программы автозапуск. Он также снижает уровень защищенности системы для обеспечения собственной незаметности. После запуска он интегрирует свой код в процессы Winlogon и svchost, с помощью которого контролирует обращение к сайтам для воровства конфиденциальной информации. В основном воруются пароли социальных сетей и финансовых сервисов. Шпион блокирует межсетевые экраны Windows Firewall, Outpost Personal Firewall и ZoneLabs Firewall Client.