关于病毒和入侵者的每周报告

本周的报告将看一下一个名为constructor / jpgdownloader的程序,一个名为sentinelsteal的黑客工具,两个特洛伊木马-malam.a和malam.b-和三个蠕虫-fightrub.a,bagle.ba和rayl.a-。

构造函数/ jpgdownloader是一个用于创建JPG映像文件的工具,它可以利用称为“JPEG处理中的缓冲区溢出”的缓冲区溢出。此安全问题导致从Internet下载的文件(这可能是病毒,蠕虫,木马等),并在使用易受攻击的应用程序打开图像时运行。

构造函数/ jpgdownloader让恶意用户输入从受害者计算机上运行的文件的URL。一旦用户完成此操作,它会使用下载和运行文件所需的信息创建JPG文件(如上所述,可能是病毒,蠕虫等)。

Sentinelsteal是一种黑客工具,可以默默地运行,以便其被感染的用户不会意识到它的存在或其执行的动作。这些包括:
- 记录keystrokes,包括在电子邮件中输入的文本,聊天,即时消息等。
- 注册访问的网页并阻止访问某些网页。
- 以预先确定的间隔截取截图。

Sentinelsteal发送 - 来自电子邮件或通过FTP - 它收集的信息然后删除它。这种黑客工具受密码保护。

Malam.a和malam.b是在电子邮件邮件中发出的特洛伊木马,其中包括托管脚本的网页链接。当用户访问地址时,脚本将安装可执行文件,该文件下载PC上的特洛伊木马的主要组件。

Malam.a在它影响的计算机上打开通信端口,通过这样可以采取可能损害数据机密性或阻止计算机正常使用的操作。此木马还更改了Internet Explorer主页。

MALAM的B变型开启了端口9687,使计算机充当代理服务器,成为攻击者计算机和用于执行一系列动作的攻击的最终目标之间的中介(发送垃圾邮件,访问PC获取信息等)。

我们将在今天的报告中查看的第一个蠕虫是Fightrub.a,它在具有可变特征的电子邮件中传播,通过P2P文件共享应用程序。当它感染计算机时,它很容易询问它,如运行,它在屏幕上显示以下文本:“串行:41191480文件裂缝”。

第二个蠕虫是Bagle.ba,它到达了一个带有“photo-gallery!= =)”的电子邮件,并包含一个附件“foto.zip”。

BAGLE.BA在受影响的计算机上安装键盘记录器 - 熊猫软件被检测为Application / Keyhook.a-,它注册用户输入的所有击键。它还收集包括应用程序和Internet帐户的系统数据,用户名和密码的其他信息。获取的信息通过电子邮件发送到病毒作者。最后,此蠕虫还打开端口2050并通过远程连接等待命令。

今天的报告以Rayl.A结束,这是一款通过MSN Messenger传播的蠕虫。通过在网页上托管的图像的链接收到一条消息。当用户点击链接打开映像时 - 实际上是一个HTM文件 - ,Rayl.a感染了计算机。这种恶意代码还尝试利用MHTREDIR.GEN漏洞下载并运行计算机上的其他恶意软件。

有关这些和其他计算机威胁的更多信息,请访问Panda软件的病毒百科全书。

关于潘达尔巴布
在接收可能受感染的文件时,熊猫软件的技术人员直接下班。分析文件并根据类型,所采取的操作可能包括:拆卸,宏扫描,代码分析等如果该文件实际上包含新病毒,则准备消毒和检测例程并快速分发给用户。

评论(0)

添加评论

此线程已关闭新评论。

社论:+44(0)1892 536363
出版商:+44(0)208 440 0372
订阅每周电子通讯