Shark 2, утилита для создания троянов - главная тема отчета PandaLabs (www.viruslab.ru) этой недели, также здесь рассматриваются Addon.B and MSNPoopy.A - два червя, которые используют для своего распространения MSN Messenger.

Екатеринбург,14 Августа 2007г.

Shark 2 выложена на различных интернет-форумах, распространяется бесплатно и очень проста в использовании – это делает ее особенно опасной. Созданные с ее помощью трояны могут красть все виды конфиденциальной информации с компьютеров пользователей, если последние не достаточно защищены.

“Эти трояны ставят под угрозу частную жизнь пользователя, так как кибер-преступники могут активировать веб-камеру «жертвы», если таковая имеется, и наблюдать за ним”, объясняет Луис Корронс, технический директор PandaLabs.

Shark 2 позволяет преступникам указывать сервер, к которому должен подключиться троян, запускать вредоносный код при каждом старте системы, демонстрировать сообщения об ошибке или запускать другие файлы. Также данная утилита дает возможность злоумышленникам устанавливать определенные действия для процессов и сервисов, например, завершить указанные процессы, заблокировать или удалить сервер пользователя и т.д.

После заражения компьютера, созданный утилитой троян подключается к серверу, указанному хакером, и открывает интерфейс, с помощью которого преступник может предпринять ряд различных действий, включая кражу всех видов паролей (например, служба обмена сообщениями, электронная почта, банковские услуги и т.п.)

Кибер-преступники также могут запускать в зараженной системе различные утилиты, например, редактирование реестра или внесение изменений в хостовый файл. Таким образом, они могут перенаправлять пользователей на фишинговые или зараженные веб-сайты.

Трояны, созданные с помощью данной утилиты, также способны делать скриншоты, перехватывать аудио-потоки и записывать нажатия клавиш.

“Создатели вредоносного ПО могут использовать данную утилиту для создания троянов, способных атаковать пользователей на нескольких фронтах, но цель всегда одна – получение информации, которую будет достаточно легко обратить в некое подобие финансовой прибыли”, говорит Корронс.

Первый червь, рассматриваемый в отчете этой недели - Addon.B, вредоносный образец которого посылается через MSN Messenger в формате .zip под названием Foto_celular. Если пользователь открыл и запустил такой файл, то он установил копию червя на свой компьютер.

Addon.B копирует себя на все носители под именем Foto_celular.scr. После запуска файла загружается второй компонент червя, sexy.wm., который, в свою очередь, подключается к двум веб-страницам, ожидающим последующие команды, начиная от загрузки других вредоносных кодов на зараженный компьютер до запуска обновлений.

Червь MSNPoopy.A использует тот же принцип распространения, что и Addon.B – через MSN Messenger. В этом случае употребляются такие выражения как “look @ my cute new puppy:-D” или ”look @ this picture of me, when I was a kid “, чтобы заставить пользователя открыть прикрепленный файл (в формате .zip), например, под таким названием как img1756.

Если пользователь открыл и запустил файл, то его компьютер заражен. А также все пользователи в адресной книге «жертвы», весьма вероятно, получат подобные сообщения.

MSNPoopy.A редактирует реестр Windows для того, чтобы запускаться при каждом старте системы. Он также пытается связаться с другими постоянными каналами связи для своего дальнейшего распространения.

“Неудивительно, что кибер-преступники с возрастающей активностью используют постоянные каналы связи для распространения своих «творений». Данными услугами пользуются миллионы людей каждый день, поэтому они представляют очень легкий и быстрый путь для заражения огромного числа пользователей”, объясняет Корронс.

Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться бесплатными онлайновыми решениями TotalScan или NanoScan beta, которые можно найти по адресу www.infectedornot.com
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru).