关于病毒和入侵者的每周报告

本周关于病毒和入侵者的报告研究了两种蠕虫(Mydoom.BH和Crowt.B)和特洛伊木马Downloader.BHV。

Mydoom.BH是一种电子邮件蠕虫,也可以通过KaZaA P2P文件共享程序传播。一旦进入计算机并运行,它将从网站上下载带有代码的页面,该页面以可执行文件TEMP1.EXE的形式保存到Windows系统目录中。它还会显示涉及防病毒的屏幕,以分散用户的注意力。

为了通过电子邮件进行传播,它使用自己的SMTP引擎将自身发送到Outlook通讯簿中的所有联系人。显示为电子邮件发件人的名称为假,并且邮件中包含带有恶意代码的附件。

除了使用电子邮件之外,Mydoom.BH还在共享的KaZaA目录中创建其自身的副本,该目录是从Windows注册表获取的。该副本具有随机文件名和扩展名,可以从旨在吸引KaZaA用户的名称列表中选择。

该程序的其他用户可以远程访问此共享目录,并自愿将Mydoom.BH创建的文件下载到他们的计算机上,以为它们实际上是有趣的程序,等等。实际上,他们会将蠕虫的副本下载到其计算机上。当他们运行下载的文件时,这些其他计算机将被Mydoom.BH感染。

该报告中的第二个蠕虫Crowt.B具有后门功能,并使用自己的SMTP引擎通过电子邮件发送自身。它从存储在用户计算机上的联系人列表中获取发送地址。

它允许在受感染的计算机上执行远程命令,并从中提取信息。它还充当键盘记录器,记录击键并窃取输入的密码,因此还带来了其他危险。为了隐藏自己,Crowt.B将其代码注入其他程序。

最后,我们来看一下Downloader.BHV木马。此恶意代码在受感染的计算机上下载并安装广告软件程序。

Downloader.BHV需要攻击者的干预才能传播,并且无法自动传播。使用了各种传播渠道,包括软盘,CD,带有附件的电子邮件,Internet下载,FTP文件传输,IRC通道,P2P文件共享网络等。

运行时,它会从一系列网站上下载5个伪装成GIF文件的可执行文件,并在受感染的系统上运行。为了防止检测,它使用了一些非常基本的技术(在代码运行时组成了一些文本字符串)。

关于熊猫实验室
收到可能受到感染的文件后,Panda Software的技术人员会立即开始工作。将对文件进行分析,并取决于类型,所采取的措施可能包括:反汇编,宏扫描,代码分析等。如果文件确实包含新病毒,则准备好消毒和检测例程并将其快速分发给用户。欲获得更多信息: http://www.pandasoftware.com/virus_info/

评论(0)

添加评论

此主题已停止发表新评论。

社论:+44(0)1892 536363
发行人:+44(0)208 440 0372
免费订阅每周电子通讯