Недельный отчет Panda Software о вирусах и вторжениях
На этой неделе в традиционном отчете PandaLabs рассмотрены трояны SpamtaLoad.DO, ArmyMovement.A и Lozyt.A, а также червь Muhi.A.
Троян SpamtaLoad.DO распространяется в электронных сообщениях с такими темами, как, например, “Ошибка (Error)”, “Добрый день (Good day)” или “привет (hello)”. Текст письма может быть разным, но обычно в нем содержится сообщение об ошибке от отправителя. Сам троян прячется в исполняемом вложении под разными именами.
Когда пользователь запускает зараженный файл, троян демонстрирует сообщение об ошибке. В других случаях он показывает файл блокнота с текстом. Данный вредоносный код предназначен для загрузки червя Spamta.TQ на пораженный компьютер и рассылки SpamtaLoad.DO по всем электронным адресам, найденным в зараженной системе.
“SpamtaLoad.DO – это последний из выявленных членов семейства Spamta, один из наиболее активных кодов за прошедшие несколько месяцев. Как и предыдущие версии, SpamtaLoad.DO сумел получить широкое распространение и присутствовал в 40% зараженных сообщений, ежечасно получаемых PandaLabs,” рассказывает Луис Корронс, технический директор PandaLabs.
Вторым мы рассмотрим трояна ArmyMovement.A. Он проникает в компьютер с электронной почтой или файловыми загрузками и при запуске копируется в систему.
Специально разработанный для кражи адресов электронной почты, хранящихся в Outlook, он рассылает по всем таким адресам сообщение-розыгрыш о том, что турецкое правительство приняло решение на 50% поднять зарплаты солдат и госслужащих. Темы и тексты таких сообщений написаны на турецком языке.
“Подобные сообщении обычно предвещают опасную атаку. Последующие сообщения с такой же темой могут содержать ссылку на оригинал статьи. Если пользователь переходит по такой ссылке – он заражается,” говорит Корронс.
ArmyMovement.A становится причиной нескольких ошибок на зараженных компьютерах. Например, он модифицирует файл загрузки и тот демонстрирует сообщение, подсказывающее пользователям отформатировать жесткий диск. Также он вносит изменения в файл ntldr, что не дает компьютеру перезагружаться. Данный вредоносный код переписывает файлы с другими расширениями (.jpg, .xls, .doc, .zip…), что становится причиной потери информации.
Троян Lozyt.A попадает в компьютеры вместе с электронной почтой или загрузками файлов. Сразу после запуска он подключается к удаленному серверу и загружает исполняемый файл, который устанавливает рекламную программу Errorsafe на зараженный компьютер.
Lozyt.A также прекращает несколько процессов, среди них некоторые из процессов решений безопасности. Он всеми силами старается подольше остаться незамеченным.
И в последнюю очередь мы рассмотрим червя Muhi.A. Для распространения, он копируется на все системные диски, включая съемные накопители (USB карты памяти, и др.) Этот червь уничтожает содержимое накопителей, в которых находятся его копии.
Muhi.A также распространяется через общие папки, под такими названиями как: “I_LOVE_YOU.exe”, “download.exe” или “window shopper.exe”. Копии червя отображаются со значком Блокнота, чтобы обмануть пользователя.
Этот червь прерывает процессы некоторых решений безопасности. Он также изменяет реестр для того, чтобы система не смогла предупредить о таких ошибках. Кроме того, Muhi.A изменяет стартовую страницу Internet Explorer.
citcity.ru