Спецпроекты

Безопасность Интернет

PandaLabs: недельный отчет о вирусах и вторжениях

На этой неделе в отчете PandaLabs рассматривается троян Burglar.A, а также черви USBToy.A и Naiba.A.

Так, троян Burglar.A распространяется двумя способами. Первый состоит в рассылке пользователям спам-почты с предложением кликнуть на вложенной ссылке. Если пользователь переходит по ссылке, то он попадает на веб-сайт, где находится троян. При втором способе троян прячется в исполняемом вложенном файле. Когда пользователь открывает такой файл, Burglar.A устанавливается на компьютер.

После заражения системы троян начинает отправлять своему создателю информацию (IP-адрес, название страны, в которой он находится, широту и долготу и др.). Для наглядности информации троян использует приложение Google Maps. Когда киберпреступник открывает карту мира при помощи данного приложения, он видит расположение всех инфицированных компьютеров.

Кроме того, этот троян загружает на компьютер различные вредоносные программы. Например, троян Keylog.LN предназначен для записи нажатий клавиш для получения логинов пользователей. Burglar.A также загружает трояна Banker.CLJ, который блокирует загрузку банковских веб-страниц и заменяет их своей поддельной страницей, на которой запрашивает конфиденциальные данные пользователей.

Плюс к этому Burglar.A скачивает из сети трояна FileStealer.A, который устанавливает на зараженном компьютере веб-сервер. Киберпреступники затем могут удаленно управлять компьютерами с помощью доступа к такому серверу с веб-страницы.

Наконец, Sters.P — это последний из троянов, загружаемых Burglar.A. Он блокирует для пользователей и антивирусных решений доступ к определенным веб-сайтам разработчиков антивредоносных решений с обновлениями.

Черви USBToy.A и Naiba.A используют для распространения и заражения компьютеров USB-устройства. Например, если к компьютеру подключают одно из устройств, зараженных USBToy.A, червь копирует себя в скрытый файл. Позднее, когда устройство подключают к другому компьютеру, червь заражает и его. Naiba.A копируется в файл autorun.exe. на всех физических и съемных носителях компьютера. Таким образом, при каждом запуске диска происходит заражение.

USBToy.A запускается при загрузке компьютера и сопровождается сообщением на китайском языке. Он использует приложение Windows SetFileAttributesA, чтобы скрыть свое присутствие и затруднить обнаружение решениями безопасности.

Naiba.A блокирует процессы некоторых решений безопасности и изменяет записи реестра Windows. Одна из таких модификаций используется для маскировки червя. Другая — для блокировки работы сервиса Cryptsvc , который может предупредить пользователя о происходящих изменениях. При этом червь выполняет различные действия, раздражающие пользователя. Например, он не дает открываться блокноту и не позволяет просматривать скрытые файлы через проводник Windows.

Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться Panda ActiveScan, бесплатным онлайновым решением, которое можно найти здесь. Он позволяет пользователям просканировать свои компьютеры.

Короткая ссылка