На этой неделе в традиционном отчете PandaLabs (www.viruslab.ru) мы рассмотрим три вредоносных кода: трояна PayRob.A, утилиту Icepack и червя Chasnah.A.

Екатеринбург, 30 июля 2007г.

PayRob.A – это троян, предназначенный для кражи данных из учетных записей PayPal. Как и большинство троянов, PayRob.A не способен распространяться самостоятельно, для этого ему необходимо вмешательство хакера.

После запуска, PayRob.A присваивает себе атрибуты скрытого файла и редактирует реестр Windows для того, чтобы запускаться при каждой загрузке системы.

Троян создает на зараженном компьютере две своих копии – одну в папке временных файлов интернета, а вторую – в C:\WINDOWS\MSAPPS\. Если в системе не обнаружена последняя директория, пользователь видит сообщение об ошибке.

Также он помещает копию файла под названием modeexpinovo.txt в папку с временными интернет-файлами. В этом текстовом файле хранятся все пароли PayPal, найденные трояном в зараженной системе. Хакеры могут получать удаленный доступ к этому файлу с определенного интернет-хоста.
Червь Chasnah.A демонстрирует сообщения на индонезийском языке, когда пользователь логинится, а также время от времени открывает веб-страницу какой-нибудь индонезийской организации.
Этот червь использует для своего распространения папки совместного доступа и USB-устройства. После запуска, Chasnah.A создает в зараженной системе несколько файлов, а также несколько записей в реестре Windows.
Далее при каждом входе пользователь видит сообщение на английском и индонезийском языках. Кроме того, периодически червь открывает веб-браузер и просматривает страницу, о которых уже упоминалось чуть выше.

Chasnah.A снижает уровень защиты системы за счет блокировки запуска некоторых приложений безопасности, а также время от времени он проверяет, нет ли подключенных к компьютеру USB-устройств, которые можно заразить.

Последним мы рассмотрим IcePack – вредоносную утилиту, предназначенную для инсталляции вредоносного ПО с помощью эксплойтов. Icepack заражает компьютеры следующим образом: утилита получает доступ к определенной веб-странице, куда она добавляет iframe-ссылку, ведущую на сервер, на котором установлено данное приложение. Основное отличие Icepack заключается в том, что такую ссылку добавляет сама утилита. Предыдущим приложениям, таким как Mpack, были необходимы действия хакера, который вручную осуществлял доступ к веб-страницам, на которые затем добавлялась ссылка.

При посещении таких искаженных страниц пользователями, активируется Icepack, которая анализирует компьютер пользователя на предмет уязвимостей. При положительном результате, она скачивает из сети эксплойт, необходимый для использования имеющейся в компьютере уязвимости. Еще один отличительный признак Icepack - это то, что она использует эксплойты, соответствующие самым последним выявленным уязвимостям. Этому есть разумное объяснение – в таком случае существует меньшая вероятность того, что пользователи уже обновили свои компьютеры для исправления новейших брешей безопасности.

После этого кибер-преступники могут загружать на зараженные компьютеры любое вредоносное ПО. Другое нововведение в Icepack – он сочетает в себе программу проверки ftp и iframe.

Все пользователи, желающие узнать, не были ли их компьютеры заражены этими или другими вредоносными программами, могут воспользоваться бесплатными онлайновыми решениями TotalScan или NanoScan beta, которые можно найти по адресу www.infectedornot.com
О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru).