Интернет: Bagle.BC и W32/Darby.H

Новини от света на компютърните и високите технологии.
Post Reply
Аватар
forumadmin
Site Admin
Мнения: 546
Регистриран на: Нед Мар 28, 2004 11:30 am
Местоположение: Пред pc-to!
CONTACT:
CONTACT_USER

Интернет: Bagle.BC и W32/Darby.H

Мнение от forumadmin » Пон Ное 01, 2004 12:21 pm

Bagle.BC. Това е червей, който отваря TCP порт 81 и слуша, чакайки за отдалечени връзки. Така Bagle.BC позволява харкери да придобият отдалечен контрол над заразения компютър.
Bagle.BC прекратява процеси, които протичат към средствата за сигурност. Освен това, Bagle.BC спира определени червеи, като някои варианти на Netsky, от изпълнението им при стартиране на Windows. За да бъде направено това, изтрива вписванията на тези червеи в Windows Registry. Bagle.BC се разпространява по е-mail в съобщение с вариращи характеристики и през програми файлови програми тип "peer-to-peer" (P2P). Bagle.BC трудно се разпознава, тъй като не показва никакви съобщения или предупреждения, когато е достигнал до определен компютър.

Bagle.BC предприема следните действия:

Отваря TCP порт 81 и слуша, чакайки за отдалечени връзки. Така Bagle.BC позволява на харкери да придобият отдалечен контрол над заразения компютър, за да предприемат злонамерени действия, които да компроментират компютъра и конфиденциалността на потребителя или да спрат нормалната му работа.

Bagle.BC прекратява следните процеси, ако са активни в паметта:

alogserv.exe, APVXDWIN.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, Avconsol.exe, AVENGINE.EXE, AVPUPD.EXE, Avsynmgr.exe, AVWUPD32.EXE, AVXQUAR.EXE, blackd.exe, ccApp.exe, ccEvtMgr.exe, ccProxy.exe, ccPxySvc.exe, CFIAUDIT.EXE, DefWatch.exe, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, FrameworkService.exe, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, LUCOMS~1.EXE, mcagent.exe, mcshield.exe, MCUPDATE.EXE, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, navapsvc.exe, navapw32.exe, NISUM.EXE, nopdb.exe, NPROTECT.EXE, NUPGRADE.EXE, OUTPOST.EXE, PavFires.exe, pavProxy.exe, pavsrv50.exe, Rtvscan.exe, RuLaunch.exe, SAVScan.exe, SHSTAT.EXE, SNDSrvc.exe, symlcsvc.exe, UPDATE.EXE, UpdaterUI.exe, Vshwin32.exe, VsStat.exe and VsTskMgr.exe.

Това са процеси, които принадлежат на средства за сигурност, като антивирусни програми например. Прекратява ги и оставя компютъра уязвим към атаките на друг злонамерен софтуер.


Darby.H. Това e червей, който прекратява процесите, които протичат към някои антивирусни програми и firewall. Това оставя заразения компютър беззащитен срещу атаките на друг злонамерен софтуер.
Darby.H спира работата на Task Manager и Windows Registry.
Освен това, прави опити да променя заглавната страница на Internet Explorer.
Darby.H се разпространява по e-mail в съобщение с вариращи характеристики, през peer-to-peer (P2P) програми, през IRC и по мрежите.


Darby.H лесно се разпознава, тъй като изпълнимият му файл има същата иконка, както на Windows папка.
Върнете се в началото
Post Reply

Назад към