Недельный отчет Panda Software о вирусах и вторжениях

Источник: Viruslab

В отчете прошедшей недели рассматриваются последние бюллетени безопасности, выпущенные Майкрософт. Это бюллетени предлагают исправления для ряда ошибок и уязвимостей в системах и приложениях компании. В отчете также рассматриваются два вредоносных кода: Nedro.B и Haxdoor.NJ.

 

Майкрософт выпустила десять бюллетеней безопасности для пользователей. Они исправляют уязвимости, опасность которых оценена как "критическая" (шесть), "серьезная" (одна), "умеренная" (две) и "низкая" (одна).

Первый вредоносный код в отчете прошедшей недели - червь W32/Nedro.B.worm, разработанный для заражения операционных систем Windows. Он распространяется по IRC и через Yahoo! messenger.

Чтобы остаться незамеченным и избежать обнаружения и уничтожения, Nedro.B выполняет ряд действий:

  • Блокирует доступ к реестру Windows.
  • Вносит модификации в систему для запуска кода червя при любом запуске файла с одним из следующих расширений: art, dat, avi, ini и pif.
  • Назначает иконку Microsoft Word файлам .scr (хранители экрана) для того, чтобы сделать их менее подозрительными для пользователей.
  • Скрывает файлы .bat, .com, .exe и .scr (все эти файлы являются исполняемыми, и поэтому потенциально опасны).
  • Удаляет опцию "Выполнить" из меню "Пуск".
  • Запрещает просмотр пользователем содержимого жесткого диска через Проводник Windows.
  • Завершает множество приложений безопасности.

    Эти действия не только позволяют Nedro.B скрывать себя, но также оставляют систему уязвимой для других вредоносных кодов.

    Haxdoor.NJ - это бэкдор-троян, собирающий различные виды паролей с зараженного компьютера, например таких, как пароли начала сеанса работы, а также почтовых клиентов Outlook и The Bat. Haxdoor.NJ также пытается украсть пароли для систем eBay, e-gold и paypal. Если он находит эту информацию, то отправляет ее своему создателю, используя руткит Rootkit/Haxdoor.NJ.

    В распространении Haxdoor.NJ полагается на злоумышленника, поскольку не способен к автоматическому распространению. Этот руткит также открывает три произвольно выбираемых порта, чтобы позволить своему автору получить данные.

    Для распространения, Haxdoor.NJ внедряет свой код в процесс explorer.exe, тем самым, обеспечивая свой запуск при каждой загрузке системы. Он предотвращает работу брандмауэра Windows XP SP2, изменяя его настройки таким образом, чтобы считаться авторизованным приложением. Программы Panda в ITshop.ru


  • Страница сайта http://test.interface.ru
    Оригинал находится по адресу http://test.interface.ru/home.asp?artId=1354