Programska oprema
05.06.2006 06:57

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanca Briz.I in Mitglieder.IZ, črva Bagle.JG in BlackAngel.A ter vohunski program DigiKeyGen so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

Briz.I je trojanec, ki se uporablja v kriminalni prevari za krajo zaupnih podatkov, kot so bančni podatki ali gesla. Za širjenje potrebuje akcije uporabnika, kot so odpiranje e-poštnih priponk ali nalaganje datotek z interneta ali omrežij P2P. Našli so ga tudi na določenih spletnih straneh, predvsem z ilegalnimi ali pornografskimi vsebinami, ki so preusmerile uporabnike na drugo stran, s katere se je zlonamerna datoteka avtomatično pretočila z izkoriščanjem ranljivosti. Ko je na sistemu, se Briz.I preimenuje v “iexplore.exe” in se poskuša prebiti kot proces brskalnika Internet Explorer. Potem onemogoči varnostne storitve Windows (požarno pregrado) in spremeni datoteko “hosts”, da bi preprečil dostop do spletnih mest protivirusnih podjetij. Na koncu naloži drugo komponenti na prizadeti sistem in se izbriše. Ta komponenta napadalcu pošlje informacije o napadenem sistemu, vključno z naslovom IP in državo. Namesti tudi programček za lovljenje podatkov, ki jih vnaša uporabnik v obrazce v brskalnik Internet Explorer, kot so gesla in bančni podatki. Briz.I omogoči tudi, da se okuženi računalnik uporabi kot prehod za dostop do drugih spletnih mest, s čimer zamaskira napadalca, in zagotovi dostop do datotek na okuženem sistemu.

Mitglieder.IZ je trojanec, ki ga na sistemu pusti črv Bagle.JG in poskuša na okuženi sistem nalagati druge datoteke, verjetno posodobitve črva. Da to naredi, se poveže na več spletnih mest, da bi poiskal strežnike mreže eDonkey, in se prekopira na to omrežje. Poskuša tudi naložiti druge datoteke, ki se poskušajo prebiti kot datoteke JPG ali PHP, v resnici pa so posodobitve za črva Bagle.JG. Trojanec se prekošira na prizadeti sistem pod imenom Mdelk.exe in ustvari registrski zapis (Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionRun), ki kaže na “mdelk.exe”.

Bagle.JG je črv, ki na sisteme spušča trojanca Mitglieder.IZ. Poskuša tudi zmanjšati varnost okuženega računalnika tako, da zaključi storitve, povezane z varnostnimi orodji, vključno s protivirusnimi programi in požarnimi pregradami. Širi se preko programa eDonkey za omrežje P2P, tako da se skopira v datoteko za P2P in strežniška imena, ki jih pridobi Mitglieder.IZ, tako da uporabniki verjamejo, da so naložili uporabno datoteko. V Windows Registry doda zapis, da zagotovi svoj zagon ob vsakokratnem zagonu sistema in dodatnega v Hkey_Current_User SoftwareFirstrRun, da označi računalnik, da se ve, ali je okužen ali ne.

BlackAngel.A je črv, ki poskuša zaključiti procese, povezane z varnostnimi orodji, kot so protivirusni programi ali požarne pregrade. Prepreči tudi zaganjanje določenih orodij Windows, kot sta urejevalnik za Registry in Task Manager. Širi se preko MSN Messengerja, da se predstavlja kot datoteka Windows Media Player z dvojno končnico. Ta ob zagonu prikaže sporočilo o napaki in pošlje svojo kopijo na vse trenutno aktivne stike uporabnika. Najbolj uničujoča akcija črva je brisanje vrste zapisov v Windows Registry, ki preprečuje zagon operacijskega sistema.

DigiKeyGen je oglaševalski program, ki se gosti na več spletnih straneh, ki pritegnejo uporabnika s tem, da jim ponudijo prost dostop do pornografskih vsebin. Ko se zažene, na sistem spusti kodo SpywareQuake, skupaj z aplikacijo proti vohunskemu programju z enakim imenom. Ta aplikacija potem izsiljuje uporabnika tako, da ga obvesti, da je okužen in mu ponudi možnost čiščenja računalnika z nakupom licence te aplikacije. DigiKeyGen se lahko naloži iz več spletnih mest z odraslimi vsebinami. Ustvari tudi datoteko “eregperf.exe” v mapi Windows okuženega računalnika, skupaj z datoteko, ki šteje, kolikokrat je bil program zagnan. Doda tudi ključ v Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentversion PoliciesExplorer Run Registry ter tako še oteži ročno odstranjevanje.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

Exclusive Networks Slovenia d.o.o.

Dunajska cesta 159, 1000 Ljubljana, Tel: 01 292 76 51
Za nemoteno poslovanje potrebujete trdo in varno omrežno infrastrukturo. Podjetja brez vzpostavljene trdne infrastrukture pogosteje trpijo zaradi slabe uporabniške izkušnje za zaposlene ... Več
Zlati partner

GROWTHCOM d.o.o.

PE Ljubljana, Šmartinska cesta 152, 1000 Ljubljana, Tel: 051 313 192
Growthcom - vaš specialist za digitalni marketing Svoje 10-letne izkušnje s področja prodaje in digitalnega marketinga je z nami delil direktor podjetja, David Fabjan. V Growthcomu ... Več
Zlati partner

Crayon

Šmartinska cesta 106, 1000 Ljubljana, Tel: 0597 87 142
Crayon je globalno podjetje, ki svojim strankam pomaga zgraditi komercialne in tehnične temelje za uspešno digitalno transformacijo v oblak. Ponujamo celovite IT rešitve migracij ... Več
Zlati partner

Endava PLC

Vilharjeva cesta 46, 1000 Ljubljana,
Endava spreminja odnos med ljudmi in tehnologijo. Pri izkoriščanju prednosti novih poslovnih modelov in priložnosti na trgu pomagamo nekaterim vodilnim svetovnim podjetjem iz ... Več