Tedensko poročilo o virusih in vdorih

Bagle.JP, Bagle.JQ in Sixem.A črvi, Downloader.JFN trojanec, backdoor trojanec Breplibot.R, spyware Browsezilla, in ranljivosti odkrite v HLINK.DLL, so predmet tedenskega poročila PandaLabs.

Bagle.JP in Bagle.JQ sta črva iz družine Bagle katerih prve različice so se pojavile leta 2004. Glavna lastnost te družine črvov je ta, da se se bili sposobni razširjati masovno preko e-pošte v velikem številu različic, ki so jih pošiljali ustvarjalci. Novi Bagle.JP in Bagle.JQ varianti se širita v z geslom zaščiteni .ZIP datoteki priloženi e-pošti, ki vključuje tudi .gif sliko z geslom potrebnim za odpiranje datoteke. Do okužbe pride če uporabnik odpre .ZIP datoteko s pomočjo priloženega gesla. Oba črva zbirata e-poštne naslove iz okuženega računalnika za nadaljnje razširjanje in uporabljata rootkit opcije za prikrivanje lastnih datotek, procesov in vnosov v register. Znata tudi izklopiti vrsto procesov, ki se nanašajo na varnostna orodja kot so protivirusi in požarni zid.

Sixem.A e-poštni črv, ki za predmet uporablja FIFA World Cup kot vabo. Ko se ga požene, prenese trojanca Downloader.JGP na računalnike. Z mnogimi taktikami vabi uporabnike da odprejo sliko ki baje nanaša na ‘nudist world cup’, čeprav gre za dejansko izvršljivo datoteko z dvojno končnico. V izogib odkrivanju Sixem.A izklopi vrsto procesov, ki se nanašajo na varnostna orodja kot so protivirusi in požarni zidovi.

Downloader.JFN je trojanec izrablja trenutno še brez popravka, ranljivost odkrito v Microsoft Excele ki omogoča zagon poljubne kode v računalniku. Trojanec okuži sistem z excel datoteko posebej narejeno za izrabljanje te ranljivosti. Pri odpiranju škodljive excel datoteke se v internet explorer vcepi Downloader.JFN, ki potem prenaša in izvaja druge trojance. Trojanec se ne more razširjati sam in za okužbo potrebuje uporabnikovo interakcijo (npr. odpiranje priloge ali datoteke prenešene s spleta).

Breplibot.R je backdoor trojanec, ki odpira komunikacijski port na računalnikih in povezuje se na IRC strežnik zaradi sprejemanja ukazov, ki omogočajo daljinski nadzor okuženih računalnikov. Kliče netsh ukaz za preprečevanje blokade s strani požarnega zidu. Breplibot.R za razširjanje tudi potrebuje “sodelovanje” uporabnika (lso requires user intervention in order to spread, (npr. odpiranje priloge ali datoteke prenešene s spleta ali P2P omrežja). Ta črv je bil odkrit kot priloga sporočilo ki se nanaša na krajo nafte v katero sta vključeni George W. Bush inTony Blair.

Browsezilla je internet brskalnik, ki ga lahko prenesete z mnogih spletnih strani. Po namestitvi, namesti tudi adware PicsPlace na računalnike, ki povezuje uporabnike brez njihove vednosti na posamezne spletne strani z vsebino za odrasle. To artificira povečanje obiska teh spletnih strani, posledično pa finančne koristi lastnikov teh strani in kreatorjev Browsezille. Posledice za uporabnika, ki si namesti brskalnik so nepotrebno povečanje promete s temi nevidnimi povezavami, oz. zmanjševanje koristne pasovne širine. Uporabniki so lahko tudi po nedolžnem obtoženi obiskovanja pornografskih spletnih strani.

PandaLabs je ta teden opozarjala tudi na ranljivost odkrito v knjižnici HLINK.DL, ki jo uporabljajo številni Microsoft Office programi, tudi Microsoft Excel. Izraba te ranljivosti lahko povzroči okužbe s posebej narejenimi excel datotekami. Ta document se lahko distribuira po e-pošti ali pa se prenese z interneta. Trenutno še ni popravka za to ranljivost in zato naj bodo uporabniki zelo previdni pri sprejemanju excel datotek.