Prima pagină » News » Raport saptamânal cu privire la virusi si intrusi

Raport saptamânal cu privire la virusi si intrusi

Apropo.ro / 11.08.2004, 12:27
Raport saptamânal cu privire la virusi si intrusi
În acest raport vom analiza activitatea a trei viermi: Mydoom.P, Mydoom.O si Amus.A, si a doi troieni Downloader.OG si Brador.A. Mydoom.P se raspândeste prin e-mail, într-un mesaj ce simuleaza o eroare. La fiecare 5 secunde viermele verifica daca în memorie exista procese care sa contina

În acest raport vom analiza activitatea a trei viermi: Mydoom.P, Mydoom.O si Amus.A, si a doi troieni Downloader.OG si Brador.A.

Mydoom.P se raspândeste prin e-mail, într-un mesaj ce simuleaza o eroare. La fiecare 5 secunde viermele verifica daca în memorie exista procese care sa contina una din extensiile: av, AV, can, cc, ecur, erve, iru, java, KV, mc, Mc, nti, nv, ort, scn, SkyNet, sss, sym, Sym, uba si xp.exe. Daca da, viermele încheie procesul în derulare. Uneori, cînd este rulat pentru prima data, viermele deschide un Notepad.

Pentru colectarea adreselor de mail, Mydoom.P se foloseste de una din urmatoarele metode:

-cauta în toate fisierele extensiile: ADB, ASP, CFG, DBX, DHTM, EML, HTM, HTML, JS, JSE, JSP, MMF, MSG, ODS, PHP, PL, SHT, SHTM, SHTML, TBB, TXT, WAB si XML.

– Creaza cereri HTTP catre email.people.yahoo.com, în scopul cautarii anumitor trasaturi, caracteristici în Yahoo mail.

În Culise cu Mădălina Bellariu – Despre visuri, emoții și viața din spatele camerelor
În Culise cu Mădălina Bellariu – Despre visuri, emoții și viața din spatele camerelor
Cravata Galbenă, în premieră în Statele Unite, la Festivalul de Film de la Santa Barbara
Cravata Galbenă, în premieră în Statele Unite, la Festivalul de Film de la Santa Barbara

Mydoom.O se raspândeste printr-un mail cu caracteristici variabile. Instaleaza un fisier ce deschide si infiltreaza virusul de tip backdoor în portul TCP 1034. Apoi creeaza acces sistemului compromis si astfel, date confidentiale pot fi furate sau utilizatorii nu pot folosi sistemul în mod corespunzator.

Al treilea vierme pe care îl vom analiza în acest raport este Amus.A; acesta foloseste propriul motor SMTP pentru a se raspândi prin email: se autocopiaza si creeaza un registru de intrare pentru a asigura rularea lui la fiecare deschidere a sistemului Windows. Câteodata, Amus.A creaza un patrat alb în coltul stâng al ecranului desktop.

Primul troian analizat în raportul din aceasta saptamâna este Brador.A; el afecteaza PDA –ul (Personal Digital Assistant) ce ruleaza în sistemul Windows. Actiunile lui includ deschiderea unui port care sa permita conectarea din afara, si copierea lui –precum Svchost.exe- în directorul Start. Când Brador.A infecteaza un sistem trimite dezvoltatorului de virus un mesaj prin care confirma disponibilitatea device-ului.

Raportul din aceasta saptamâna se încheie cu analiza comportamentului troianului Downloder.OG, care periodic instaleaza Adware/Wupd, downlodându-l de pe o serie de site-uri predeterminate. Downloader.OG creeaza în calculatorul afectat un fisier numit BRIDGEX.DLL, acesta reprezentând însusi copia lui.

Sursa: SmartNews.