Oskarbot.KD – это первый вредоносный код, заражающий системы через уязвимость
Microsoft MS06-040. По данным PandaLabs, Oscarbot.KD осуществляет поиск
компьютеров с этой уязвимостью. Если он находит их, то вызывает переполнение
буфера в системе и запускает код, необходимый для скачивания своей копии
на компьютер в файле wgareg.exe. Однако Oscarbot.KD также распространяется,
используя службу AOL instant messenger и через диски общего пользования.
При установке червя на компьютер, открывается порт 18067 и Oscarbot.KD подключается
к определенным серверам IRC. Это может позволить удаленному злоумышленнику
осуществлять связь с вредоносным кодом для скачивания и запуска на компьютере
любого рода программного обеспечения или проведения атак на другие компьютеры.
Кроме того, Oscarbot.KD редактирует ряд ключей реестра Windows для блокирования
брандмауэра, включенного в определенные версии операционной системы. Nabload.JC,
как и многие другие трояны, не способен распространяться автоматически и
поэтому в распространении полагается на злоумышленника. Используемые для
распространения методы различны: флоппи- и компакт-диски, а также электронные
сообщения с вложенными файлами. Nabload.JC разработан чтобы скачивать описываемый
ниже вредоносный код: Banker.EEA. Banker.EEA – это троян, изменяющий страницу
аутентификации, отображаемую в браузерах пользователей сайта немецкого банка
Postbank. Троян изменяет ее таким образом, что кроме запроса имени пользователя
и PIN-кода, она также спрашивает TAN (Transaction Authorization Number,
код авторизации транзакций). Когда он получает эту информацию, он отправляет
ее на сервер, с которого она попадает в руки злоумышленников и используется
в криминальных целях. Несмотря на то, что Banker.EEA нацелен конкретно на
клиентов Postbank, он также выполняет мониторинг и сбор информации, вводимой
в формах прочих сайтов, например, принадлежащих другим банкам и сервисам
веб-почты.