关于病毒和入侵者的每周报告

今天的报告看着构造函数/ emftrojan.c,netsky.ah,netsky.ai,bagz.e,mydoom.ad和scranor.a。

构造函数/ emftrojan.c是一个程序,旨在创建格式错误的图像文件,以利用Microsoft在Microsoft的MS04-032公告中描述的增强型元文件(EMF)图像格式中的远程代码执行漏洞。

构造函数/ Emftrojan提供了多种选项来配置生成的代码,可选择在打开文件时采取以下操作:

- 打开一个端口,可以将命令发送到受妥协的计算机。

- 从指定的URL下载并运行文件。

为了保护计算机免受此类和其他类似威胁的,熊猫软件已经开发了Exploit / MS04-032.Gen,对专门制作的EMF图像的通用检测专门用于利用这种安全漏洞。

我们今天将看的第一个蠕虫是Astky的AH和AI变体,它通过电子邮件发送了使用自己的SMTP引擎来解决它们从少于10,000,000字节的文件中获取的地址,并具有以下之一扩展:DBX,WAB,MBX,EML,MDB,TBB或DAT。他们被执行后十分钟发送,仅在2004年10月20日和10月25日之间发送。为防止同时执行netsky.ah和netsky.ai创建互斥锁“0x452a561c”。

今天的报告中的下一个蠕虫是Bagz.e,它在具有可变特征的电子邮件中传播。它终止了诸如防病毒程序等应用程序的过程,使计算机容易受到其他恶意软件的攻击。

BAGZ.E在它影响的计算机的Windows目录中创建多个文件。此WORM还修改了主机文件,防止访问多个防病毒网站IT安全公司。

MyDoom.ad,也通过电子邮件在变量消息中传播。它使用集合名称和域列表来欺骗发件人的地址。

使用自己的SMTP引擎,MyDoom.ad将自己的副本发送到它发现的文件中的所有地址,其中包含以下扩展名(如果它们没有某些文本字符串):adb,asp,cfg,cgi,dbx,EML, HTM,HTML,JSP,MBX,MDX,MSG,PHP,PL,SHT,TBB,TXT,UIN,VBS,WAB,WSH,XLS和XML。

为了确保一次只有一个自身ID副本运行,MyDoom.ad创建一个名为My-Game的互斥锁。刚刚像上面提到的蠕虫一样,MyDoom.ad还编辑了主机文件以防止访问多家防病毒公司的网站。

MyDoom的AD变体试图从与Scranor.A对应的网页下载文件,另一个蠕虫。它将文件保存在根目录中,重命名,然后执行它。

最后,我们会看Scranor.a,一种蠕虫,通过在不感染其他文件的情况下制作本身的副本传播。它的目标是饱和和崩溃的计算机和网络。

有关这些和其他计算机威胁的更多信息,请访问Panda软件的病毒百科全书。

附加信息
- SMTP(简单邮件传输协议):这是互联网上使用的协议,专门用于发送电子邮件。

更多定义: http://www.pandasoftware.com/virus_info/glossary/default.aspx

关于潘达尔巴布
在接收可能受感染的文件时,熊猫软件的技术人员直接下班。分析文件并根据类型,所采取的操作可能包括:拆卸,宏扫描,代码分析等如果该文件实际上包含新病毒,则准备消毒和检测例程并快速分发给用户。

评论(0)

添加评论

此线程已关闭新评论。

社论:+44(0)1892 536363
出版商:+44(0)208 440 0372
订阅每周电子通讯