[ksoft] Три зловредные программы поэтапно захватывает компьютеры
Привет, All!
Антивирусные эксперты выражают озабоченность появлением целого
"ансамбля" зловредных программ, которые, поэтапно убивая все средства
антивирусной защиты и брандмауэры, установленные на заражённом
компьютере, постепенно превращают его в "зомби" для пересылки спама
или организации DoS-атак.
Злоумышленники выработали целую "тройственную" стратегию заражения и
захвата компьютера: указанные трояны - Glieder, Fantibag и Mitglieder
- проникают на компьютер по очереди и отключают конкретные защитные
программы, заодно скачивая друг друга с удалённых сайтов.
Первым идёт Glieder.AK, он же Tooso, он же Bagle.bo. По данным
"Лаборатории Касперского",
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=82665
самостоятельно вирус-троян не размножается, он
изначально был разослан по спам-рассылке. Запускается он тоже только
вручную - если у пользователя хватит ума открыть и запустить вложенный
файл, червь начинает активно безобразничать.
При инсталляции червь создает в системном каталоге Windows файлы с
именами winshost.exe и wiwshost.exe.
Затем червь регистрирует себя в ключе автозапуска системного реестра и
изменяет файл %System%\drivers\etc\hosts, перекрывая доступ к длинному
списку
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=82665
сайтов, в первую очередь, принадлежащим антивирусным
компаниям. Кроме того, червь удаляет из системного реестра Windows
ключи антивирусных пакетов и брандмауэров.
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=43216#infection По
данным антивирусной компании Computer
Associates, червь также закрывает процессы антивирусных пакетов и
межсетевых экранов и сканирует длинный список адресов, с которых
пытается скачать Fantibag и Mitglieder, своих "подельников".
http://securityresponse.symantec.com/avcenter/venc/data/trojan.fantibag.a.html
Fantibag блокирует доступ к сайтам,
посвящённым сетевой безопасности, и хуже того, интегрирует свой
dll-файл в explorer.exe, чтобы скрыть следы своего присутствия в
системных процессах. Впрочем, его выдают модифицированные ключи
реестра в разделе Run, - оказавшись в системном реестре, он
запускается при каждом старте Windows.
Последний из троянов -
http://www.f-secure.com/v-descs/mitglied.shtml
Mitglieder - работает как средство пересылки почты, при
этом он также блокирует некоторые программы и передаёт своим
создателям некую информацию, а точнее, в свою очередь, пытается
выкачать ещё один троян - Ldpinch - с трёх разных сайтов. По данным
F-Secure, Ldpinch с тех сайтов уже удалён.
Антивирусные эксперты предполагают, что подобная "кооперация" между
тремя программами имеет целью создание крупной сети
компьютеров-"зомби".
По http://www.newscientist.com/article.ns?id=dn7474
утверждению Саймона Терри, вице-президента по стратегии
компании Computer Associates, хакеры используют сети
"зомби"-компьютеров для элементарного вымогательства у коммерческих
компаний (платите, иначе получите DDoS-атаку). А сами
"зомби"-компьютеры - http://net.compulenta.ru/175687/
расхожий товар, торговля которым между хакерами
осуществляется "на подпольном подобии аукциона Ebay".
