Tedensko poročilo o virusih in vdorih

Trojanec Nabload.CW in zadnje ranljivosti, o katerih je poročal Microsoft (MS06-18, MS06-19 in MS06-20), so osnova poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

Nabload.CW je trojanec, ki se ne more širiti sam, ampak ga mora aktivirati uporabnik. Poskuša naložiti in zagnati drugega trojanca – Bancos.MO. Simulira datoteko Windows Media Player z imenom Video [1].exe, ki ob zagonu prikaže okno z animacijo GIF, ki imitira predvajalnik Windows. Potem prikaže sporočilo, češ da je potrebno naložiti kodek za predvajanje datoteke. Če je namig sprejet, naloži trj/Bancos.MO. Če se Video[1].exe ponovno zažene, se pojavi opozorilo o pokvarjeni datoteki. Trojanec na sistemu ustvari datoteko v sistemski mapi z imenom ffyt66555.KO, da bi vedel, ali je sistem okužen in drugo, ki pripada Trj/Bancos.MO, z imenom Svchost.Exe v začasnih internetnih datotekah (Temporary Internet Files). Ustvari tudi naslednji zapis v registru: Hkey_Local_MachineSoftwareMicrosoftDownloadmanager.

Pretekli teden je Microsoft poročal tudi o več kritičnih ranljivostih v svojih proizvodih ali proizvodih, povezanih z njegovimi operacijskimi sistemi:

MS06-018 je nekritična ranljivost v MSDTC (Microsoft Distributed Transaction Coordinator), odkrita v Windows XP/2000 in Server 2003, ki lahko omogoči napade za zavrnitev storitev (DoS – denial of service) na ranljivih sistemih. Če je napad uspešen, se lahko računalnik blokira in se preneha odzivati. Ranljivost se lahko izkoristi s pošiljanjem posebej narejenih paketov na računalnik žrtve po lokalnem omrežju ali po internetu. Uporaba požarne pregrade lahko prepreči tovrstne napade.

MS06-019 je kritična ranljivost, odkrita v strežniku Exchange Server 2000/2003, ki napadalcu omogoči prevzem nadzora na računalniku z enakimi pravicami kot prijavljeni uporabnik. Če ima uporabnik administratorske pravice, lahko ranljivost napadalcu omogoči prevzem popolnega nadzora nad računalnikom. Pomanjkljivost nastane zaradi napake pri interakciji med iCal (Internet Calendar) in vCal (Virtual Calendar) ter Exchangeom. Poskus izkoriščanja ranljivosti se začne s posebej pakiranimi sporočili, poslanimi na strežnik Exchange.

MS06-020 je skupek kritičnih ranljivosti, odkritih v različicah predvajalnika Macromedia Flash Player, vključenega v Microsoft Windows XP/Me/98. Ranljivost lahko omogoči zagon kode na ranljivih sistemih na daljavo. Možnost napada nastane zaradi obstoja nepreverjenega medpomnilnika med izvajanjem datotek flash. Uspešen napak lahko omogoči dostop do računalnika z enakimi pravicami kot obstoječa seja. Če ima račun administratorske pravice, lahko napadalec prevzame popoln nadzor nad sistemom. Ranljivost se izkoristi prek posebej narejene datoteko s končnico SWF, ki se lahko pošlje po e-pošti ali se naloži s spletne strani.