Programska oprema
05.06.2006 06:57

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanca Briz.I in Mitglieder.IZ, črva Bagle.JG in BlackAngel.A ter vohunski program DigiKeyGen so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

Briz.I je trojanec, ki se uporablja v kriminalni prevari za krajo zaupnih podatkov, kot so bančni podatki ali gesla. Za širjenje potrebuje akcije uporabnika, kot so odpiranje e-poštnih priponk ali nalaganje datotek z interneta ali omrežij P2P. Našli so ga tudi na določenih spletnih straneh, predvsem z ilegalnimi ali pornografskimi vsebinami, ki so preusmerile uporabnike na drugo stran, s katere se je zlonamerna datoteka avtomatično pretočila z izkoriščanjem ranljivosti. Ko je na sistemu, se Briz.I preimenuje v “iexplore.exe” in se poskuša prebiti kot proces brskalnika Internet Explorer. Potem onemogoči varnostne storitve Windows (požarno pregrado) in spremeni datoteko “hosts”, da bi preprečil dostop do spletnih mest protivirusnih podjetij. Na koncu naloži drugo komponenti na prizadeti sistem in se izbriše. Ta komponenta napadalcu pošlje informacije o napadenem sistemu, vključno z naslovom IP in državo. Namesti tudi programček za lovljenje podatkov, ki jih vnaša uporabnik v obrazce v brskalnik Internet Explorer, kot so gesla in bančni podatki. Briz.I omogoči tudi, da se okuženi računalnik uporabi kot prehod za dostop do drugih spletnih mest, s čimer zamaskira napadalca, in zagotovi dostop do datotek na okuženem sistemu.

Mitglieder.IZ je trojanec, ki ga na sistemu pusti črv Bagle.JG in poskuša na okuženi sistem nalagati druge datoteke, verjetno posodobitve črva. Da to naredi, se poveže na več spletnih mest, da bi poiskal strežnike mreže eDonkey, in se prekopira na to omrežje. Poskuša tudi naložiti druge datoteke, ki se poskušajo prebiti kot datoteke JPG ali PHP, v resnici pa so posodobitve za črva Bagle.JG. Trojanec se prekošira na prizadeti sistem pod imenom Mdelk.exe in ustvari registrski zapis (Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionRun), ki kaže na “mdelk.exe”.

Bagle.JG je črv, ki na sisteme spušča trojanca Mitglieder.IZ. Poskuša tudi zmanjšati varnost okuženega računalnika tako, da zaključi storitve, povezane z varnostnimi orodji, vključno s protivirusnimi programi in požarnimi pregradami. Širi se preko programa eDonkey za omrežje P2P, tako da se skopira v datoteko za P2P in strežniška imena, ki jih pridobi Mitglieder.IZ, tako da uporabniki verjamejo, da so naložili uporabno datoteko. V Windows Registry doda zapis, da zagotovi svoj zagon ob vsakokratnem zagonu sistema in dodatnega v Hkey_Current_User SoftwareFirstrRun, da označi računalnik, da se ve, ali je okužen ali ne.

BlackAngel.A je črv, ki poskuša zaključiti procese, povezane z varnostnimi orodji, kot so protivirusni programi ali požarne pregrade. Prepreči tudi zaganjanje določenih orodij Windows, kot sta urejevalnik za Registry in Task Manager. Širi se preko MSN Messengerja, da se predstavlja kot datoteka Windows Media Player z dvojno končnico. Ta ob zagonu prikaže sporočilo o napaki in pošlje svojo kopijo na vse trenutno aktivne stike uporabnika. Najbolj uničujoča akcija črva je brisanje vrste zapisov v Windows Registry, ki preprečuje zagon operacijskega sistema.

DigiKeyGen je oglaševalski program, ki se gosti na več spletnih straneh, ki pritegnejo uporabnika s tem, da jim ponudijo prost dostop do pornografskih vsebin. Ko se zažene, na sistem spusti kodo SpywareQuake, skupaj z aplikacijo proti vohunskemu programju z enakim imenom. Ta aplikacija potem izsiljuje uporabnika tako, da ga obvesti, da je okužen in mu ponudi možnost čiščenja računalnika z nakupom licence te aplikacije. DigiKeyGen se lahko naloži iz več spletnih mest z odraslimi vsebinami. Ustvari tudi datoteko “eregperf.exe” v mapi Windows okuženega računalnika, skupaj z datoteko, ki šteje, kolikokrat je bil program zagnan. Doda tudi ključ v Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentversion PoliciesExplorer Run Registry ter tako še oteži ročno odstranjevanje.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

noviSplet, ATRIBUT d.o.o.

Verovškova ulica 55, 1000 Ljubljana, Tel: 01 565 32 61
Agencija za spletne storitve noviSplet Spletna agencija noviSplet deluje od leta 2004. Izdelala je že več kot 1000 spletnih mest. Na področju izdelave spletnih strani spada med ... Več

MORDICOM d.o.o.

Šolska ulica 40, 5250 Solkan, Tel: 05 330 03 60
Skoraj nemogoče je preceniti vpliv rešitev za načrtovanje virov podjetja (ERP) v sodobnem poslovnem svetu. ERP sistemi so nadomestili nepovezane delovne tokove in nezdružljiva ... Več

REMIS d.o.o.

Letališka cesta 32, 1000 Ljubljana, Tel: 01 521 13 18

BILLY POS d.o.o.

Hudourniška pot 2, 1000 Ljubljana, Tel: 051 888 710
Billy rešitve za davčne blagajne temeljijo na tehnologiji v oblaku, kjer so podatki varno shranjeni v primeru izgube ali okvare naprave. Več