2005-08-31
Microworld opublikował kolejny raport z najgroźniejszymi wirusami. Wśród nich są: W32/Bagle-cc, W32/Bobax-AH, W32/PrsKey-A, , W32/Lebreat-F, W32/Esbot-C
| Nazwa: |
W32/Bagle-cc |
| Typ: |
Robak |
| Jak się rozsyła: |
Załączniki e-mail |
| Rozpowszechnienie: |
Średnie |
| Systemy operacyjne: |
Windows |
| Inne nazwy: |
W32/Bagle.dldr.gen |
| Data pojawienia: |
29 Sierpnia 2005 |
Ten wariant wirusa Bagle nie jest w stanie rozpowszechniać się samodzielnie, więc został wysłany masową pocztą. Jest on prawie identyczny do Bagle.Bj pod względem funkcjonalności i posiada kilka modyfikacji, które są wykrywane jako Bagle.pac.
Zarażone wiadomości mają albo pusty temat i treść, albo zawierają losowy tekst oraz losową nazwę załącznika.
Robak znajduje się w załączniku ZIP o wielkości ok. 18KB.
Załącznik może mieć następującą nazwę:
"to_reduce_the_tax.zip"
Robak sam w sobie jest plikiem Windows typu PE EXE, spakowany przy użyciu pakera PEX. Rozpakowany plik jest wielkości ok. 36KB.
|
| Kliknij tutaj aby otrzymać więcej informacji na temat wirusa W32/Bagle-cc |
|
| Nazwa: |
W32/Bobax-AH |
| Typ: |
Robak masowych przesyłek
|
| Jak się rozsyła: |
Załączniki e-mail
|
| Rozpowszechnienie: |
Średnie |
| Systemy operacyjne: |
Windows |
| Inne nazwy: |
W32.Bobax.AH@mm |
| Data pojawienia: |
30 Sierpnia 2005 |
W32/Bobax-AH jest robakiem rozpowszechniającym się za pomocą masowych przesyłek pocztowych i używa zarażonego komputera jako ukryte proxy. Robak wykorzystuje błąd przepełnienia bufora w Windowsowym Plug and Play MS05-039 oraz wysyła swoje kopie do zebranych adresów e-mail.
Przykleja plik Was*.tmp do wszystkich procesów z nazwą zaczynającą się od:
expl
Winl
serv
To obejmuje następujące procesy systemowe Windows:
explorer.exe
Winlogon.exe
services.exe
Zbiera adresy e-mail z gAddress Book Windowsów, listą kontaktów Windows Messengera i plików z jednym z poniższych rozszerzeń:
.htm
.txt
.dbx
E-mail może się odznaczać następującymi cechami:
Tytuł:
Jeden z następujących:
Cool
pics
funny
bush
joke
secret
Wiadomość:
Jedna z następujących:
Saddam Hussein - Attempted Escape, Shot dead
Attached some pics that i found
Osama Bin Laden Captured.
Attached some pics that i found
Testing
Secret!
Hey,
Remember this?
Hello,
Long time! Check this out!
Hey,
I was going through my album, and look what I found..
Hey,
Check this out :-)
|
| Kliknij tutaj aby otrzymać więcej informacji na temat wirusa W32/Bobax-AH |
|
| Nazwa: |
W32/PrsKey-A |
| Typ: |
Robak szpiegujący |
| Jak się rozsyła: |
Internet Downloads |
| Rozpowszechnienie: |
Średnie |
| Systemy operacyjne: |
Windows |
| Inne nazwy: |
-- |
| Data pojawienia: |
24 Sierpnia 2005 |
Jest to robak kradnący hasła oraz monitoruje każde wciśnięcie klawisza klawiatury. Czeka aż użytkownik zagra w Priston Tale lub zaloguje się na konto Yahoo! i wtedy zaczyna monitorowanie klawiatury.
W32/PrsKey-A zawiera funkcjonalność:
- dostępu do internetu i komunikacji ze zdalnym serwerem poprzez HTTP
- wysyłania zarejestrowanej aktywności
|
| Kliknij tutaj aby otrzymać więcej informacji na temat wirusa W32/PrsKey-A |
|
| Nazwa: |
W32/Lebreat-F |
| Typ: |
Robak |
| Jak się rozsyła: |
Udostępnione zasoby sieciowe
|
| Rozpowszechnienie: |
Średnie |
| Systemy operacyjne: |
Windows |
| Inne nazwy: |
-- |
| Data pojawienia: |
24 Sierpnia 2005 |
Jest to robak rozpowszechniający się za pomocą masowych przesyłek oraz backdoor dla systemów Windows. Przenosi się na inne komputery w sieci wykorzystując znane błędy przepełniania bufora, takie jak LSASS (MS04-011) czy PnP (MS05-039).
Może także służyć za serwer ftp pozwalając na dostęp zdalnym użytkownikom. Próbuje także pobrać z internetu oraz uruchomić program ze zdefiniowanego adresu URL. |
| Kliknij tutaj aby otrzymać więcej informacji na temat wirusa W32/Lebreat-F |
|
| Nazwa: |
W32/Esbot-C |
| Typ: |
Robak |
| Jak się rozsyła: |
Udostępnione udziały sieciowe
|
| Rozpowszechnienie: |
Średnie |
| Systemy operacyjne: |
Windows |
| Inne nazwy: |
-- |
| Data pojawienia: |
22 Sierpnia 2005 |
W32/Esbot-C jest robakiem, które rozpowszechnia się wykorzystując błąd przepełnienia bufora w Windowsowym Plug and Play (opisanym w Biuletynie Bezpieczeństwa Microsoftu MS05-039), pozwalając atakującemu na zdalny dostęp do zarażonego komputera.
Łączy się z serwerem IRC ypgw.wallloan.com na porcie TCP 18067 i czeka na następujące komendy IRC:
Download and execute files (Pobierz i uruchom pliki)
List, stop, and start processes and threads (Wylistuj, zatrzymaj, uruchom procesy i wątki)
Launch denial of service attacks (Uruchom ataki DoS)
Find files on local hard disks (Znajdź pliki na lokalnych dyskach)
Scan for remotely exploitable computers (Szukaj zdalnych komputerów możliwych do zarażenia)
|
| Kliknij tutaj aby otrzymać więcej informacji na temat wirusa W32/Esbot-C |
|
