Недельный отчет Panda Software о вирусах и вторжениях // 14 Ноября 2012

В отчете PandaLabs минувшей недели мы рассмотрим червей Spamta.IC и Mytob.QA, а также трояна ProxyServer.D.

Spamta.IC – это червь, который рассылает по электронной почте трояна SpamtaLoad.N. Сообщения выдают себя за уведомления о сбое доставки, и содержат вложение со стандартным значком текстового файла, содержащее, на самом деле, трояна. Если пользователь открывает этот файл, система заражается SpamtaLoad.N. Затем троян выполняет ряд действий, включая скачивание на зараженный компьютер Spamta.IC.

Spamta.IC создает несколько записей в реестре Windows для того, чтоб обеспечить свой запуск при каждом запуске компьютера.

Mytob.QA – это червь с характеристиками бэкдора, подключающийся к серверу, ожидая команд злоумышленника. С целью распространения, Mytob.QA ищет в файлах на зараженном компьютере адреса электронной почты, после чего рассылает на них сообщения с заголовком Account Alert!

Выполняемые этим червем действия включают в себя завершение процессов, принадлежащих нескольким утилитам безопасности, таким как антивирусы и брандмауэры.

И, наконец, ProxyServer.D – это троян, разработанный для того, чтобы скачивать несколько файлов с определенной веб-страницы, используя методы руткита для их маскировки. Троян также устанавливает драйвер и создает прокси-сервер на произвольно выбираемом порте зараженного компьютера.

ProxyServer.D даже способен наблюдать за скоростью Интернет-соединения компьютера, который он заражает. Для этого он пытается скачать с веб-страницы приложение ICQ, и отправляет запрос на несколько IP-адресов чтобы узнать время отклика.

Подобно большинству троянов, ProxyServer.D неспособен распространяться автоматически. Среди каналов его распространения дискеты, компакт-диски, электронные письма с вложениями, скачиваемые из Интернета файлы, содержимое FTP, IRC-каналы, пиринговые системы обмена файлами (P2P) и т.д.

Источник: Viruslab