ANTICHAT — форум по информационной безопасности, OSINT и технологиям

(15:37) 08.10.2007
http://www.cybersecurity.ru/crypto/33196.html

Согласно данным, опубликованным на сайте Infected or Not, 33.23% пользователей с установленными на ПК решениями безопасности, оказались заражены вредоносным ПО. Среди незащищенных пользователей количество заражений достигает 46.16%.

Горячую десятку вредоносных кодов на этой неделе возглавила рекламная программа Gator, за которой следует ПНП (Потенциально нежелательная программа) Altnet и рекламный код SaveNow.

Все они являются вредоносными кодами, которые представляют угрозу для конфиденциальности пользователя, например, за счет мониторинга его онлайн-активности.
Горячая десятка недели по данным онлайнового антивируса TotalScan

Позиция
Название

1 Adware/Gator

2 Application/Altnet

3 Adware/SaveNow

4 Adware/Cydoor

5 Adware/Exact.BargainBuddy

6 Spyware/MarketScore

7 Adware/Lop

8 Exploit/iFrame

9 Adware/nCase

10 Adware/Aureate-Radiate


Кроме того, в настоящем недельном отчете PandaLabs рассмотриваются трояны Nabload.CHW и Maran.DJ, а также червей Ganensar.A и Mimbot.A.

Nabload.CHW распространяется в электронных сообщениях, которые якобы приходят от сервиса поддержки Gmail. В тексте сообщения, напечатанном на португальском языке, троян стремится убедить пользователя скачать новую антивирусную утилиту, угрожая, что, если тот этого не сделает, то не сможет больше пользоваться своей учетной записью электронной почты. Когда пользователь переходит по указанной ссылке, он сам копирует трояна к себе на компьютер.

Nabload.CHW предназначен для загрузки на зараженные компьютеры банковского трояна, который затем отсылает своему создателю электронное письмо с указанием имени пораженного компьютера. Кроме того, троян шпионит за пользователями в интернете, а при использовании определенных онлайновых банков крадет их банковские пароли, которые затем пересылает своему создателю.

Троян Maran.DJ добавляет к реестру Windows несколько записей. Таким образом, он запускается при каждой загрузке системы.

За счет внесенных изменений он крадет данные о пользователях и системе, считывает пароли, имена пользователей и другую конфиденциальную информацию, которую пользователи вводят на веб-сайтах и в документах.

Червь Ganensar.A проникает в компьютеры и создает в системе несколько своих копий, а также скачивает вредоносные файлы.

Данный червь вносит несколько изменений в реестр Windows, за счет чего запускается при старте каждой сессии. Кроме того, он создает и другие записи, которые, нацелены на отключение диспетчера задач и редактора реестра, a также вставляет в окно свойств системы изображение и текст, которые сообщают пользователю о том, что компьютер заражен.

Кроме того, червь блокирует программы, окна которых имеют определенные названия, и отключает защиту файлов Windows, заменяя некоторые файлы копиями блокнота и сохраняя их первоначальные названия. Таким образом, при запуске такого файла открывается Блокнот.

Mimbot.A предназначен для принудительного закрытия окон MSN Messenger в то время, как он рассылает по всем контактам сообщение с предложением скачать зараженный файл, содержащий копию червя.

Для создания сообщений он использует несколько предложений на различных языках, например: “Debo utilizar este cuadro en msn?”; “Was denken Sie an diese?“; “que pensez-vous” или “check it out, i shaved my head :|”.