关于病毒和入侵者的每周报告

本周关于病毒和入侵者的报告将重点关注三个后门特洛伊木马 - 韦伯,Webber.p和Agent.e-,两个特洛伊木马 - 班坎霍恩。和斯堪的。 - 以及三个新的Korgo Variants。

webber.s和webber.p是两个后门特洛伊木马,允许恶意用户访问远程太湖字谜解释,窃取机密信息并将其发送到几个网站。这两个变体因其分布方式而异。

WebBer.p通过修改使用IIS 5.0(Internet信息服务)的Web服务器的配置来传播。因此,这些服务器将由Panda软件作为利用/ DITACINARG的恶意JavaScript代码 - 在他们主机的页面中。此代码利用Internet Explorer漏洞,以允许WebBer.p下载并在太湖字谜解释上运行,​​而无需用户的同意。

当用户访问包含恶意JavaScript代码的某些网页时,也分发了Webber。由于Internet Explorer中的漏洞,此代码允许WebBer.S将在太湖字谜解释中下载并运行,而无需用户实现。

Webber.p打开两个TCP端口,以使受影响的太湖字谜解释充当代理服务器。

当今报告中的第三个后门特洛伊木马是代理人。当用户访问某些网站时,它在受影响的太湖字谜解释上安装自己。此恶意代码在目标太湖字谜解释中创建Dinamic Link库,可控制浏览器Internet Explorer的某些功能。 Agent.e允许执行以下操作:从系统获取信息,访问属于多个应用程序的文件,使用对象进行通信等。

Trojan Bankhook.a通过利用MHTREDIR Internet Explorer漏洞在受影响的太湖字谜解释上安装自己。 bankhook.a修改受影响的太湖字谜解释的Windows注册表,以确保每次启动Internet Explorer时都会运行。

Bankhook.A在受影响的太湖字谜解释中搜索HTTPS流量,用于与不同的在线银行相关的文本字符串。如果成功,Bankhook.A窃取机密信息(用户名,密码,帐号,信用卡号等),并将其发送到远程太湖字谜解释尽管脚本。

当今报告中的第二个特洛伊木马是Scob.a,它只影响充当Web服务器的Windows XP / 2000 / NT太湖字谜解释,只要它们拥有IIS(Internet信息服务)v5.0。 scob.a修改了应用程序设置,以便在这些服务器提供的所有文件中包含恶意代码(Exploit / Dialfarg)。

我们将完成本周的报告,其中Valiants U,V和W.所有这些恶意代码都利用Windows LSASS漏洞通过Internet自动扩展到太湖字谜解释。即使这些恶意代码影响了所有Windows平台,它们也只能自动扩展到Windows XP / 2000太湖字谜解释。所有这些Korgo Variants连接到多个网站并尝试从中下载文件。他们还在受影响太湖字谜解释位于这些网站的国家/地区发送信息。

Korgo.u,Korgo.v和Korgo.w Go记忆居民,与利用LSASS漏洞影响太湖字谜解释的其他恶意代码不同,它们不会显示具有倒计时时钟的错误消息或重新启动受影响的太湖字谜解释。

有关这些和其他太湖字谜解释威胁的更多信息,请访问Panda软件的病毒百科全书。

附加信息
Backdoor Trojan:这是一个进入太湖字谜解释的程序,并创建一个后门,可以在没有用户实现的情况下控制受影响的系统。

Internet Information Server(IIS):这是一个用于发布和维护网页和门户的Microsoft服务器。

动态链接库(DLL):具有扩展DLL的特殊类型文件。

More definitions at:http://www.pandasoftware.com/virus_info/glossary/default.aspx

关于潘达尔巴布
在接收可能受感染的文件时,熊猫软件的技术人员直接下班。分析文件并根据类型,所采取的操作可能包括:拆卸,宏扫描,代码分析等如果该文件实际上包含新病毒,则准备消毒和检测例程并快速分发给用户。

评论(0)

添加评论

此线程已关闭新评论。

社论:+44(0)1892 536363
出版商:+44(0)208 440 0372
订阅每周电子通讯