PandaLabs: червь прикрывается игрой Super Mario
На этой неделе в традиционном отчете PandaLabs рассматриваются два червя - RogueMario.A и USBWorm.A, а также троян Kangen.F.RogueMario.A - это червь, который демонстрирует базовую версию широко известной игры Super Mario, чтобы скрыть свою вредоносную деятельность.
«Представьте, что пользователь получил электронное сообщение с вложенным файлом, в котором предположительно содержится игра Super Mario. Он запускает файл и вместо сообщения об ошибке видит игру - конечно, вероятность того, что он поймет, что его ПК заражен, ничтожно мала», - считает Луис Корронс (Luis Corrons), технический директор PandaLabs.
RogueMario.A вносит изменения в некоторые установки системы – такие как настройки валюты и страны, имя пользователя, используемое по умолчанию и др. Также червь принудительно закрывает некоторые мониторинговые программы, включая HijackThis - v1.99.1 и Multikiller2.
В реестре он создает несколько ключей, чтобы запускаться при каждой загрузке системы. Кроме того, он редактирует реестр Windows с целью изменения производительности и других аспектов системы, а также назначает задание, чтобы запускаться каждый день в определенное время.
Плюс ко всему, этот червь создает на зараженных компьютерах несколько своих копий под такими названиями, как Explorer.exe или Mario.exe. Для распространения он создает еще несколько своих копий под названиями Legend.exe или Kartu.exe на всех доступных съемных носителях, а также рассылает их в виде вложений в электронные сообщения.
Следующим в отчете рассматривается червь USBWorm.A, который распространяется путем копирования самого себя на съемные носители, такие как карты памяти USB. Он копирует на все носители два файла: autorun.inf и more.exe. Первый из этих файлов запускает второй, который выполняет целый ряд вредоносных действия каждый раз, когда носитель подключают к компьютеру.
Этот червь создает в системе свои копии под различными именами, а также старается добавить свой файл autorun.inf, с помощью которого он запускается, в меню, вызываемое правой кнопкой мыши.
Наконец, Kangen.F – это троян, который появляется в системе в виде иконки с танком. Он создает на компьютере несколько своих копий, а также загружает в него несколько файлов, включающих ссылку на веб-страницу с сообщением на индонезийском языке.
Троян редактирует реестр Windows, чтобы запускаться при каждом старте системы. Кроме того, он старается изменить имя пользователя и название организации, на которую зарегистрирована ОС.
Распространяется Kangen.F в виде вложения в электронное сообщение или в виде составляющей части интернет-загрузки.
© CNews