Троян ShotOne становится причиной целого ряда проблем на зараженном компьютере.
С модификациями реестра Windows, этот троян может блокировать обновления
Windows и доступ к пункту меню Файл в Internet Explorer или Windows Explorer.
Кроме того, он прячет содержимое папок “Мои документы” и “Мой компьютер”.

Среди других вредоносных действий данного трояна - отключение на панели
задач меню, вызываемого правой кнопкой мыши, и кнопки Пуск, скрытие значков
в области уведомления и отключение опций ‘Запуск’ и ‘Поиск’ в меню Пуск.

Троян запускается вместе с загрузкой системы. При запуске он выбрасывает
целую серию окон, которые мешают использованию компьютера. Более того, троян
перезагружает включенный компьютер, зараженный им, каждые три часа.

Вторым в данном отчете мы рассмотрим троян Yabarasu, который запускается
при загрузке системы и каждый раз открывает следующее окно:



Yabarasu копирует себя в зараженную систему. Для того, чтобы обмануть пользователя,
он прячет расширения всех файлов и всплывающие подсказки (информационные
окна, которые появляются в Windows при наведении курсора на файл). Yabarasu
также прячет папки на диске C, а вместо них размещает свои копии с идентичным
названием и значком. При запуске подобного файла, пользователь фактически
запускает трояна.

И ShotOne, и Yabarasu попадают на компьютеры через электронную почту, файловые
загрузки, зараженные запоминающие устройства и др.

На этой неделе PandaLabs зарегистрировала несколько вариантов червей семейства
Rinbot: Rinbot.B, Rinbot.F, Rinbot.G и Rinbot.H. Эти черви распространяются
копируя самих себя на съемные носители и сетевые ресурсы совместного пользования.
Они также записывают свои копии на USB-устройства (MP3-плееры, карты памяти,
и т.п.), подключаемые к компьютеру.

Некоторые из разновидностей используют для распространения уязвимости.
Rinbot.B, например, пользуется уязвимостями LSASS и RPC DCOM. Недавно появились
патчи для устранения этих брешей безопасности.

Rinbot.G использует брешь SQL Server и проходит идентификацию как пользователь.
Как только червь попадает в компьютер, он через FTP загружает свою копию.
А затем запускается в системе.

Rinbot.H также использует для своего распространения уязвимость. Он ищет
серверы с уязвимостью MS01-032, которую можно устранить с помощью одноименного
патча от Microsoft.

Черви семейства Rinbot предназначены для открытия порта в зараженном компьютере
и установления подключения к серверу IRC. Благодаря этому, хакер может удаленно
контролировать компьютер.

Кроме того, червь загружает из интернета трояна под названием Spammer.ZV,
который начинает рассылать спам по всем адресам, найденным на зараженном
компьютере. И, в конечном счете, он изменяет настройки безопасности и системные
разрешения Internet Explorer, что снижает уровень безопасности компьютера.

Интересной отличительной чертой кода Rinbot.B стало то, что в его состав
входит запись, которая была сделана, по его утверждению, во время интервью
CNN с создателями данного семейства червей, где последние объясняют причины,
побудившие их к творению.

“Эти черви иллюстрируют одну из наиболее значительных черт новой динамики
вредоносного ПО. Создатели вредоносных программ добиваются возможности для
заражения большего количества компьютеров за счет одновременного запуска
многочисленных вариантов одного кода. Такая ситуация создает у пользователей
ложное ощущение безопасности, и они расслабляются.” объясняет Луис Корронс.

В заключение этого отчета, мы рассмотрим вирус Expiro.A. Он поражает исполняемые
файлы (.exe) в папке и подпапках Program Files. Свою копию он также оставляет
в директории Windows.

Когда пользователь запускает зараженный файл, вместе с ним запускается
и вирус. Этот прием применяется для того, чтобы пользователи не заметили
никаких видимых признаков инфицирования.

Expiro.A завершает все свои процессы, если у него появляется подозрение,
что компьютер сканируется с помощью решения безопасности. Несколько разделов
данного вредоносного кода зашифрованы для того, чтобы его было сложнее обнаружить.