Недельный отчет Panda Software о вирусах и вторжениях: Ridnu.С - самый романтичный вирус // 21 Марта 2013

На этой неделе в традиционном отчете PandaLabs (www.viruslab.ru) мы рассмотрим червя Ridnu.С, троянов Evilx.A и Clagge.G.

Ridnu.C – это, бесспорно, один из наиболее романтичных экземпляров вредоносного ПО, когда-либо обнаруженных PandaLabs. Его основная цель – написание записок нежного содержания в Блокноте, как только последний открывается пользователем. В таких сообщениях обычно следующий текст: “Дорогая моя принцесса, я хочу забрать тебя в свой дворец” или “Я скучаю по твоей прелестной улыбке”. Также он создает файл под названием “Сообщение для моей принцессы” на рабочем столе. При запуске этот червь открывает Блокнот и демонстрирует одно из вышеперечисленных сообщений.

Ridnu.C также демонстрирует свои сообщения, когда пользователи пытаются воспользоваться опцией Запуск в меню Пуск Windows. “Несмотря на то, что он такой романтичный, этот червь всё же оказывает раздражающее воздействие на пользователя. Каждые несколько секунд он открывает CD-трей, а также включает и выключает монитор,” объясняет Луис Корронс, технический директор PandaLabs.

Данный червь распространяется в электронных сообщениях, которые сам и создает. Файл, в котором содержится червь, обычно носит одно из следующих названий “Sahang dan Timah.scr”, ”Bangka Island.scr” или “Pantai Pasir Padi.scr”.

Троян Evilx.A изменяет записи реестра Windows, относящиеся к брандмауэру для того, чтобы иметь возможность просматривать любые веб-страницы и загружать любые файлы, даже содержащие вредоносное ПО.

Для того чтобы затруднить своё обнаружение, троян снабжен двумя руткитами, которые скрывают его процессы, а также создаваемые им записи и файлы. Evilx.A заметает следы за счет удаления оригинального файла, с которым он попал в компьютер.

Clagge.G предназначен для загрузки вредоносного ПО из интернета. Этот троян заходит на различные URL, откуда загружает копию трояна Cimuz.BE, который крадет информацию с компьютеров.

Clagge.G создает в системе свою копию. Также он создает ключ в реестре Windows для того, чтобы запускаться при каждой загрузке системы.

Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться TotalScan, бесплатным онлайновым решением, которое можно найти по адресу: http://www.pandasoftware.com/totalscan

Вы также можете воспользоваться бета-версией NanoScan (www.nanoscan.com), онлайнового сканера, который выявляет все активное вредоносное ПО на компьютере менее, чем за 60 секунд.

Источник: Panda Software