Stfw.RuBurglar.A
🕛 01.03.2007, 11:45
Компания Panda Software Russia представила отчет о популярных угрозах последней недели. Специалисты компании предупреждают пользователей, о трояне Burglar.A, а также червях USBToy.A и Naiba.A. Троян Burglar.A распространяется в электронных сообщениях, в которых говорится, например, что австралийский премьер-министр перенес сердечный приступ или другую болезнь. Заголовки подобных сообщений могут быть примерно следующими: "Премьер-министр пережил сердечный приступ" или "Жизнь премьер-министра - в смертельной опасности".
Burglar.A заражает компьютер двумя способами. В первом варианте осуществляется рассылка спам-почты с предложением кликнуть на вложенной ссылке. Если пользователь переходит по ссылке - он попадает на веб-сайт, где находится троян. Во втором варианте троян прячется в исполняемом вложенном файле. Когда пользователь открывает такой файл, Burglar.A устанавливается на компьютер.
После заражения системы, троян начинает отправлять своему создателю информацию (IP-адрес, название страны, в которой он находится, широту и долготу и др.). Для наглядности, троян использует приложение Google Maps. Когда кибер-преступник открывает карту мира при помощи данного приложения, он видит расположение всех инфицированных компьютеров.
Также этот троян загружает на компьютер различные вредоносные программы, например, Keylog.LN. Данный вредоносный код предназначен для записи нажатий всех клавиш на компьютере и отсылки этой информации на удаленный ПК. Burglar.A также загружает трояна Banker.CLJ, который блокирует загрузку банковских веб-страниц и заменяет их своей поддельной страницей, на которой запрашивает конфиденциальные данные пользователей. Burglar.A также скачивает из сети трояна под названием FileStealer.A. Этот троян устанавливает на зараженном компьютере веб-сервер. Кибер-преступники затем могут удаленно управлять компьютерами с помощью доступа к такому серверу с веб-страницы.
Sters.P - это последний из троянов, загружаемых Burglar.A в систему. Он блокирует для пользователей и антивирусных решений доступ к сайтам разработчиков программ для обеспечения безопасности.
Червь USBToy.A использует для распространения и заражения компьютеров USB-устройства. Если к компьютеру подключают одно из устройств (карту памяти, MP3-плеер и др.), которые заражены USBToy.A, червь копирует себя в скрытый файл. Позднее, когда устройство подключают к другому компьютеру, червь заражает и его. USBToy.A запускается при загрузке компьютера и сопровождается сообщением на китайском языке. Он использует приложение Windows "SetFileAttributesA" для того, чтобы скрыть свое присутствие и затруднить обнаружение решениями для обеспечения безопасности.
Червь Naiba.A также распространяется с помощью USB-устройств. Он копируется в файл autorun.exe. на всех физических и съемных носителях компьютера. Таким образом, заражение происходит при каждом запуске диска. Naiba.A блокирует процессы некоторых решений безопасности и изменяет записи реестра Windows. Одна из таких модификаций используется для маскировки червя, а другая - для блокировки работы сервиса Cryptsvc , который может предупредить пользователя о происходящих изменениях. Также этот червь выполняет различные действия, раздражающие пользователя. Например, он не дает открываться программе Notepad и не позволяет просматривать скрытые файлы через проводник Windows.