Panda Software: недельный отчет о вирусах и вторжениях // 11 Декабря 2012

В этом недельном отчете компания Panda Software рассматирвает четыре хакерских утилиты: Application/WeatherBug, AKeyLogger, ActiKeyLogger и SvrAny.A и два червя: Mytob.KN и Sdbot.FJA

Application/WeatherBug - это программа, показывающая в системном лотке погоду и температуру выбранного района, а также прогноз погоды на несколько дней вперед и рекламу. Application/WeatherBug устанавливает панель инструментов, названную Application/Myway, создает записи в реестр Windows и создает несколько файлов.

AKeyLogger и ActiKeyLogger – это два приложения, выполняющие ряд действий на зараженном компьютере, включая следующие:

- Запись нажатий клавиш, что позволяет им использоваться для получения паролей и другой конфиденциальной информации, которая затем отправляется по электронной почте.

- Они могут запускаться в скрытом режиме, при этом их не видно после установки. Если они запущены в видимом режиме, в системном лотке отображается иконка.

- Они остаются резидентными в памяти.

- Они могут быть настроены на запуск при каждой загрузке Windows.

- Они создают несколько файлов в подпапке директории Program Files.

Четвертая хакерская утилита, рассматриваемая сегодня, SvrAny.A, способна управлять службами из командной строки. Ее действия включают запуск исполняемых файлов как служб, а также запуск, блокирование, создание и удаление служб.

Первый червь в сегодняшнем отчете - Mytob.KN, распространяющийся по электронной почте в варьирующемся сообщении. После установки он подключается к IRC-серверу и ожидает команд удаленного контроля.

Mytob.KN завершает процессы, принадлежащие различным утилитам безопасности, таким как антивирусные программы и брандмауэры, а также процессы других вредоносных программ. Он также запрещает доступ к определенным веб-страницам, в основном принадлежащим антивирусным компаниям. На компьютерах с Windows XP Service Pack 2 он отключает брандмауэр, встроенный в эту операционную систему.

Отчет завершается обзором червя Sdbot.FJA, эксплуатирующего уязвимости LSASS, RPC DCOM, Workstation Service и Plug and Play для распространения через Интернет.

Sdbot.FJA подключается к нескольким IRC-серверам для получения команд удаленного контроля. Он может скачивать и запускать файлы, получать пароли Outlook и Internet Explorer, хранимые в защищенном хранилище, запускать и останавливать службы Windows, и т.д.

Источник: По материалам пресс-релиза