Panda Software: Недельный отчет о вирусах и вторжениях

23/08/2004 17:27

Panda Software выпустила очередной недельный отчет о вирусах и вторжениях прошлой недели. В нем рассматриваются две версии семейства Mydoom: S и R, а также тесно с ними связанного трояна Surila.B. Версии S и R червя MyDoom имеют следующие общие характеристики: распространяются по электронной почте с темой "photos" и содержат приложение под именем "PHOTOS_ARC.EXE". Когда пользователь открывает этот файл, черви загружаются на компьютер и запускают троян Surila.B; открывают и прослушивают различные порты для предоставления атакующему возможности доступа и вторжения на компьютер; закрывают доступ к веб страницам определенных антивирусных компаний; создают мьютекс 43jfds93872 для обеспечения одновременного функционирования только одной копии червя; ищут файлы со следующими расширениями: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB, TXT или WAB-, используя свой SMTP механизм, рассылают собственные копий. Различия между Mydoom.S и Mydoom.R в размере файлов, в которых они скрыты, а также в размере файла RASOR38A.DLL (который они создают на зараженном компьютере). Троян Surila.B загружается и запускается червями Mydoom.S и Mydoom.R. Поражает Surila.B компьютеры с платформой Windows 2003/XP/2000/NT, позволяя хакерам получить доступ и совершить вторжение, например, рассылая спам с поддельными адресами отправителя. Для этого он использует список имен и фамилий, которые сочетает с одним из следующих почтовых доменов: aol.com, gmx.net, hotmail.com, mail.com, msn.com, t-online.de, yahoo.co.uk и yahoo.com.
viruslab.ru