Ссылка: http://safe.cnews.ru/news/line/index.shtml?2007/04/09/244782

В очередном недельном отчете PandaLabs рассматривается комбинированная атака, совершенная Spamta.VK и Spamtaload.DT, а также троян Ldpinch.AAI и червь Grum.A. Напомним,...

В очередном недельном отчете PandaLabs рассматривается комбинированная атака, совершенная Spamta.VK и Spamtaload.DT, а также троян Ldpinch.AAI и червь Grum.A.

Напомним, что Spamta.VK и Spamtaload.DT. Spamta.VK – это червь, который подключается к определенным серверам и рассылает огромное количество электронных сообщений. Такие сообщения содержат файл, обычно это исполняемый файл, со скрытой копией Spamtaload.DT. После заражения компьютера троян загружает на него копию Spamta.VK, таким образом, повторяя весь цикл инфицирования заново.

«Комбинированные атаки обеспечивают широкое распространение вредоносных кодов. В данном случае червь используется для распространения трояна. На долю этой атаки приходится до 80% заражений, информация о которых поступает в PandaLabs ежечасно», объясняет Луис Корронс (Luis Corrons), технический директор PandaLabs.

Каждый раз при запуске, Spamtaload.DT демонстрирует сообщение об ошибке, а прячется сам червь в файле с привычным текстовым значком. Spamta.VK загружает из интернета несколько вредоносных файлов, а затем подключается к нескольким серверам для рассылки электронных сообщений.

Ldpinch.AAI – это троян, предназначенный для кражи паролей к нескольким видам программ: email-клиентам, браузерам, FTP-клиентам и др. Именно с этой целью он считывает конфигурационные файлы и записи реестров вышеперечисленных программ.

Ldpinch.AAI также ведет сбор данных во время подключений к интернету, инициируемых с зараженного компьютера, и отслеживает все активные процессы. Всю эту информацию он затем пересылает своему создателю через веб-форму, для чего вмешивается в работу некоторых брандмауэров.

Червь Grum.A прячется в электронных сообщениях, предлагающих протестировать фальшивую бета-версию Internet Explorer 7. В теле зараженного письма находится большая картинка, щелкнув по которой пользователь якобы может загрузить бета-версию. Однако, переходя по ссылке, он фактически сам скачивает червя себе на компьютер.

Сразу же после запуска, вредоносный файл самоуничтожается. Grum.A поражает исполняемые файлы (.exe), а затем создает копии этих файлов под теми же именами, но с расширением .rgn, чтобы затруднить их удаление из системы.

Grum.A способен скрывать свои процессы с помощью руткитовых технологий, поэтому некоторым антивредоносным решениям достаточно сложно его обнаружить. Также для того, чтобы скрыть своё присутствие, червь перехватывает несколько системных DLL и копирует себя в другие (system.dll, ntdll.dll, kernel32.dll и т.д.).

Grum.A открывает лазейку (backdoor) на зараженных компьютерах. В результате хакер может получить доступ к компьютеру и удаленно управлять им. Затем червь подключается к определенному веб-сайту и обновляется.