NeviDimka
Powerseller
Три зловредные программы поэтапно захватывает компьютеры
07 июня 2005 года, 18:08
Текст: Юрий Ильин
Антивирусные эксперты выражают озабоченность появлением целого "ансамбля" зловредных программ, которые, поэтапно убивая все средства антивирусной защиты и брандмауэры, установленные на заражённом компьютере, постепенно превращают его в "зомби" для пересылки спама или организации DoS-атак.
Злоумышленники выработали целую "тройственную" стратегию заражения и захвата компьютера: указанные трояны - Glieder, Fantibag и Mitglieder - проникают на компьютер по очереди и отключают конкретные защитные программы, заодно скачивая друг друга с удалённых сайтов.
Первым идёт Glieder.AK, он же Tooso, он же Bagle.bo. По данным "Лаборатории Касперского", самостоятельно вирус-троян не размножается, он изначально был разослан по спам-рассылке. Запускается он тоже только вручную - если у пользователя хватит ума открыть и запустить вложенный файл, червь начинает активно безобразничать.
При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe.
Затем червь регистрирует себя в ключе автозапуска системного реестра и изменяет файл %System%driversetchosts, перекрывая доступ к длинному списку сайтов, в первую очередь, принадлежащим антивирусным компаниям. Кроме того, червь удаляет из системного реестра Windows ключи антивирусных пакетов и брандмауэров.
По данным антивирусной компании Computer Associates, червь также закрывает процессы антивирусных пакетов и межсетевых экранов и сканирует длинный список адресов, с которых пытается скачать Fantibag и Mitglieder, своих "подельников".
Fantibag блокирует доступ к сайтам, посвящённым сетевой безопасности, и хуже того, интегрирует свой dll-файл в explorer.exe, чтобы скрыть следы своего присутствия в системных процессах. Впрочем, его выдают модифицированные ключи реестра в разделе Run, - оказавшись в системном реестре, он запускается при каждом старте Windows.
Последний из троянов - Mitglieder - работает как средство пересылки почты, при этом он также блокирует некоторые программы и передаёт своим создателям некую информацию, а точнее, в свою очередь, пытается выкачать ещё один троян - Ldpinch - с трёх разных сайтов. По данным F-Secure, Ldpinch с тех сайтов уже удалён.
Антивирусные эксперты предполагают, что подобная "кооперация" между тремя программами имеет целью создание крупной сети компьютеров-"зомби".
По утверждению Саймона Терри, вице-президента по стратегии компании Computer Associates, хакеры используют сети "зомби"-компьютеров для элементарного вымогательства у коммерческих компаний (платите, иначе получите DDoS-атаку). А сами "зомби"-компьютеры - расхожий товар, торговля которым между хакерами осуществляется "на подпольном подобии аукциона
07 июня 2005 года, 18:08
Текст: Юрий Ильин
Антивирусные эксперты выражают озабоченность появлением целого "ансамбля" зловредных программ, которые, поэтапно убивая все средства антивирусной защиты и брандмауэры, установленные на заражённом компьютере, постепенно превращают его в "зомби" для пересылки спама или организации DoS-атак.
Злоумышленники выработали целую "тройственную" стратегию заражения и захвата компьютера: указанные трояны - Glieder, Fantibag и Mitglieder - проникают на компьютер по очереди и отключают конкретные защитные программы, заодно скачивая друг друга с удалённых сайтов.
Первым идёт Glieder.AK, он же Tooso, он же Bagle.bo. По данным "Лаборатории Касперского", самостоятельно вирус-троян не размножается, он изначально был разослан по спам-рассылке. Запускается он тоже только вручную - если у пользователя хватит ума открыть и запустить вложенный файл, червь начинает активно безобразничать.
При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe.
Затем червь регистрирует себя в ключе автозапуска системного реестра и изменяет файл %System%driversetchosts, перекрывая доступ к длинному списку сайтов, в первую очередь, принадлежащим антивирусным компаниям. Кроме того, червь удаляет из системного реестра Windows ключи антивирусных пакетов и брандмауэров.
По данным антивирусной компании Computer Associates, червь также закрывает процессы антивирусных пакетов и межсетевых экранов и сканирует длинный список адресов, с которых пытается скачать Fantibag и Mitglieder, своих "подельников".
Fantibag блокирует доступ к сайтам, посвящённым сетевой безопасности, и хуже того, интегрирует свой dll-файл в explorer.exe, чтобы скрыть следы своего присутствия в системных процессах. Впрочем, его выдают модифицированные ключи реестра в разделе Run, - оказавшись в системном реестре, он запускается при каждом старте Windows.
Последний из троянов - Mitglieder - работает как средство пересылки почты, при этом он также блокирует некоторые программы и передаёт своим создателям некую информацию, а точнее, в свою очередь, пытается выкачать ещё один троян - Ldpinch - с трёх разных сайтов. По данным F-Secure, Ldpinch с тех сайтов уже удалён.
Антивирусные эксперты предполагают, что подобная "кооперация" между тремя программами имеет целью создание крупной сети компьютеров-"зомби".
По утверждению Саймона Терри, вице-президента по стратегии компании Computer Associates, хакеры используют сети "зомби"-компьютеров для элементарного вымогательства у коммерческих компаний (платите, иначе получите DDoS-атаку). А сами "зомби"-компьютеры - расхожий товар, торговля которым между хакерами осуществляется "на подпольном подобии аукциона
