Центр исследования компьютерной преступности

home контакты

Антивирусные эксперты выражают озабоченность

Дата: 08.06.2005
Источник: Компьюлента


virus/01virusal.jpgАнтивирусные эксперты выражают озабоченность появлением целого "ансамбля" зловредных программ, которые, поэтапно убивая все средства антивирусной защиты и брандмауэры, установленные на заражённом компьютере, постепенно превращают его в "зомби" для пересылки спама или организации DoS-атак.

Злоумышленники выработали целую "тройственную" стратегию заражения и захвата компьютера: указанные трояны - Glieder, Fantibag и Mitglieder - проникают на компьютер по очереди и отключают конкретные защитные программы, заодно скачивая друг друга с удалённых сайтов.

Первым идёт Glieder.AK, он же Tooso, он же Bagle.bo. По данным "Лаборатории Касперского", самостоятельно вирус-троян не размножается, он изначально был разослан по спам-рассылке. Запускается он тоже только вручную - если у пользователя хватит ума открыть и запустить вложенный файл, червь начинает активно безобразничать.

При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe.

Затем червь регистрирует себя в ключе автозапуска системного реестра и изменяет файл %System%\drivers\etc\hosts, перекрывая доступ к длинному списку сайтов, в первую очередь, принадлежащим антивирусным компаниям. Кроме того, червь удаляет из системного реестра Windows ключи антивирусных пакетов и брандмауэров.

По данным антивирусной компании Computer Associates, червь также закрывает процессы антивирусных пакетов и межсетевых экранов и сканирует длинный список адресов, с которых пытается скачать Fantibag и Mitglieder, своих "подельников".

Fantibag блокирует доступ к сайтам, посвящённым сетевой безопасности, и хуже того, интегрирует свой dll-файл в explorer.exe, чтобы скрыть следы своего присутствия в системных процессах. Впрочем, его выдают модифицированные ключи реестра в разделе Run, - оказавшись в системном реестре, он запускается при каждом старте Windows.

Последний из троянов - Mitglieder - работает как средство пересылки почты, при этом он также блокирует некоторые программы и передаёт своим создателям некую информацию, а точнее, в свою очередь, пытается выкачать ещё один троян - Ldpinch - с трёх разных сайтов. По данным F-Secure, Ldpinch с тех сайтов уже удалён.

Антивирусные эксперты предполагают, что подобная "кооперация" между тремя программами имеет целью создание крупной сети компьютеров-"зомби".

По утверждению Саймона Терри, вице-президента по стратегии компании Computer Associates, хакеры используют сети "зомби"-компьютеров для элементарного вымогательства у коммерческих компаний (платите, иначе получите DDoS-атаку). А сами "зомби"-компьютеры - расхожий товар, торговля которым между хакерами осуществляется "на подпольном подобии аукциона Ebay".

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2006 Computer Crime Research Center

CCRC logo
Рассылка новостей





офисный переезд по городу