Утилиты

5 июня 2003 г. I-Worm.Tanatos.b — эпидемия в Украине! Антивирусная лаборатория „ЦЕБИТ” предупреждает об эпидемии опасного червя Tanatos.b (другое название — Bugbear.B). Тип: вирус-червь. Отличительные особенности: распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Размер такого вложения . 72192 байта. Признаки инфицирования: червь создает в системной директории Windows файлы: gpflmvo.dll — keylogger DLL (примерно 6K размером) zpknpzk.dll — внутренний файл с данными shtchs.dll — внутренний файл с данными В директории Windows: %rnd name%.dat — внутренний файл с данными Во временной директории (Temp): vba%rnd%.tmp file — копия установленного червя Описание вируса: Интернет-червь Tanatos.b распространяется по электронной почте как файл-вложение в зараженном письме. В теле вируса содержатся строки: w32shamur W32.Shamur tanatos Имя вложения формируется из имен найденных на зараженном компьютере в папке „Мои документы” файлов с расширениями DOC, XLS, JPG, JPEG, TXT, CPP и другими, добавляя к ним расширения PIF, SCR, EXE. Активизация вредоносной программы происходит при запуске файла-носителя, после чего червь заражает компьютер и запускает процедуру распространения. Для запуска файла-вирусоносителя используются несколько способов: автоматически, через IFRAME брешь в системе безопасности Internet Explorer, при помощи пользователя, через локальные сети. При установке Tanatos.b копирует себя под случайным именем в каталог автозапуска программ, создает свои файлы в системной директории Windows, а также копирует себя в каталог Windows и директорию временных файлов (см. признаки инфицирования). Затем червь начинает процедуры распространения, используя встроенный SMTP-движок. Для рассылки по электронной почте Tanatos.b ищет новые адреса, сканируя на доступных дисках файлы со следующими расширениями: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX. Данная версия сетевого червя обладает несколькими опасными функциями. Tanatos.b заражает исполняемые файлы операционной системы Windows: в директории „Program Files”: winzip\winzip32.exe kazaa\kazaa.exe ICQ\Icq.exe DAP\DAP.exe Winamp\winamp.exe AIM95\aim.exe Lavasoft\Ad-aware 6\Ad-aware.exe Trillian\Trillian.exe Zone Labs\ZoneAlarm\ZoneAlarm.exe StreamCast\Morpheus\Morpheus.exe QuickTime\QuickTimePlayer.exe WS_FTP\WS_FTP95.exe MSN Messenger\msnmsgr.exe ACDSee32\ACDSee32.exe Adobe\Acrobat 4.0\Reader\AcroRd32.exe CuteFTP\cutftp32.exe Far\Far.exe Outlook Express\msimn.exe Real\RealPlayer\realplay.exe Windows Media Player\mplayer2.exe WinRAR\WinRAR.exe adobe\acrobat 5.0\reader\acrord32.exe Internet Explorer\iexplore.exe в директории Windows: winhelp.exe notepad.exe hh.exe mplayer.exe regedit.exe scandskw.exe Кроме того, в данной версии сетевого червя заложен потенциал backdoor-программы, позволяющий вирусописателю получить управление над зараженной машиной и осуществить доступ к конфиденциальной информации. Для реализации своей бекдор-функции червь открывает на зараженном компьютере порт 1080. Через него он может осуществлять следующие действия: передавать информацию о содержимом диска копировать, запускать, удалять файлы сообщать об активных приложениях, закрывать их загружать файлы с удаленных компьютеров, пересылать вирусописателю информацию от „клавиатурного жучка” устанавливать http-сервер Червь опасен еще и тем, что при заражении системы он старается остановить запущенные в системе антивирусные программы и другие средства безопасности, в том числе межсетевые экраны. Напомним, что первая версия сетевого червя Tanatos была обнаружена в сентябре 2002 года. Тогда Tanatos вызвал многочисленные случаи заражения во всем мире. На нашем сайте доступны бесплатные утилиты ведущих производителей антивирусного ПО для обнаружения и удаления интернет-червя „Tanatos.b”: http://www.virusam.net/alerts/tanatos.htm. Источник: Антивирусная Лаборатория „ЦЕБИТ” наверх