Недельный отчет Panda Software Russia о вирусах и вторжениях
Очередной недельный отчет лаборатории PandaLabs посвящен червям Oscarbot.IV, Peerbot.B и Netsad.B.
Oscarbot.IV – это червь, открывающий несколько коммуникационных портов на зараженных компьютерах, позволяя злоумышленникам осуществлять удаленный доступ к системе. Он также внедряет в систему трояна Protestor.A, который, в свою очередь, способен «записывать экран» и красть данные пользователей. Oscarbot.IV распространяется через программу обмена мгновенными сообщениями America On Line Instant Messenger, отправляя сообщения всем активным контактам пользователя. При запуске он устанавливается в систему в виде службы под названием “Windows Genuine Advantage Validation Notification“, пытаясь выдать себя за анти-пиратскую службу Microsoft и обеспечивая свой запуск при каждом старте системы.
Червь Peerbot.B способен открывать лазейку для получения команд от злоумышленника по IRC. Он также способен красть данные из баз данных SQL Server и Mysql, размещенных на компьютере, которые он затем отправляет по электронной почте. При запуске червь создает несколько файлов в системе, таких как Taskdrv.exe (копию червя) и Libmysql.dll, библиотеку, принадлежащую к базе данных Mysql. Peerbot.B может распространяться по электронной почте и через Р2Р-программы обмена файлами. Он создает ряд файлов в папках общего пользования P2P-программ с именами, выдающими их за «отмычки» для известных игр и приложений. Когда другие пользователи P2P-программ выполняют поиск, в его результатах они могут найти зараженные файлы жертвы. Чтобы избежать обнаружения, Peerbot.B завершает большой список процессов, в основном относящихся к утилитам безопасности, брандмауэрам и даже другому вредоносному ПО. Он изменяет файл HOSTS для того, чтобы запретить доступ к страницам антивирусных компаний.
Netsad.B – это червь, распространяющийся в виде почтового вложения, используя такие сообщения как “sharing files is the essence of living” ("делиться файлами – суть существования”). Он также использует несколько P2P-приложений, включая Kazaa и Emule, создавая свои копии в папках общего пользования для того, чтобы они могли быть скачаны другими пользователями. Netsad.B способен работать, только если на компьютере установлена Microsoft .NET framework 2.0. При запуске он создает свою копию в системной папке Windows под названием winservices.cab.bak.exe. Он также создает свои копии с различными именами, включая некоторые имена антивирусов, на прочих системных элементах. Чтобы остаться незамеченным, червь завершает ряд процессов, относящихся к безопасности, оставляя компьютер уязвимым к дальнейшим атакам.
