Subscribe feed

ВІРУСАЛОГІЯ: Gosys і ZBOT.MYS

18 лістапада 2009

Кампанія Symantec апублікавала за які прайшоў тыдзень звесткі аб дзесяці шкоднасных праграмах, з якіх найболей небяспечнай прызнаная W32.Gosys. Яна з'яўляецца чарвяком, які распаўсюджваецца праз агульныя тэчкі і здымныя носьбіты. Гэты чарвяк адчыняе доступ вонкавым зламыснікам да кампутара ахвяры. Пры заражэнні ён шмат файлаў съгружает на атакаваны кампутар, прычым ён змяшчае ў дырэкторыю system32 уласны выканальны файл explorer.exe і вызначае для яго аўтазапуск. Назоў, выкарыстанае чарвяком, абцяжарвае яго пошук. Чарвяк таксама згружае сваю зашыфраваную канфігурацыю з аднаго з вонкавых сайтаў, можа выконваць загружаныя праграмы, перахапляць канфідэнцыйную інфармацыю і перасылаць яе на адрасы распрацоўнікаў, а таксама перахапляе рэгістрацыйныя дадзеныя з сайтаў Gmail і Yahoo! Mail. Лячэнне чарвяка абцяжарана тым, што ён выкарыстае шмат розных спосабаў аўтазапуску.

Кампанія Trend Micro апублікавала на гэтым тыдні толькі адно апісанне праграмы-шпіёна ZBOT.MYS, спасылка на які распаўсюджваецца праз MySpace. Шпіён усталёўвае сябе пад імем sdra64.exe і канфігуруе для гэтай праграмы аўтазапуск. Ён таксама зніжае ўзровень абароненасці сістэмы для забеспячэння ўласнай незаўважнасці. Пасля запуску ён інтэгруе свой код у працэсы Winlogon і svchost, з дапамогай якога кантралюе зварот да сайтаў для крадзяжу канфідэнцыйнай інфармацыі. У асноўным крадуцца паролі сацыяльных сетак і фінансавых сэрвісаў. Шпіён блакуе міжсеткавыя экраны Windows Firewall, Outpost Personal Firewall і ZoneLabs Firewall Client.



рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100