Tedensko poročilo o virusih in vsiljivcih

Digitalna nesnaga nam povzroča čedalje več glavobolov.

Črv Kelvir.EO, virus Kukudro.A in Trojanec Downloader.JIH so predmet tokratnega tedenskega poročila Pandinih laboratorijev.

Kelvir.EO je črv s funkcijami zadnjih vrat. Širi se z izkoriščanjem določenih Windows ranljivosti v LSASS, RPC DCOM, Workstation storitvah in Plug and Play storitvah, in nato pošlje kopijo sebe z uporabo svojega lastnega FTP serverja. Ko enkrat okuži računalnik, namesti rootkit, ki je odkrit kot Ruffle.A, z namenom da zamaskira svojo akcijo. Črv se poveže na IRC server, ki se poveže na določene kanale, z namenom izvajanja naročil, ki poleg ostalih stvari, lahko prevzeme geslo, shranjeno v varovanem spominu, ki vsebuje geslo za programe, vključno z Outlookom in Internet Explorer-jem. Kelvir.EO tudi dovoljuje napadalcem da zaključijo procese, zberejo podatke o okuženih sistemih, in posodobijo ali odstranijo kodo črva.

Kukudro.A je makro virus ki na okužene računalnike spusti Trojanca Downloader.JIH, tako da ustvari datoteko imenovano 66INSE_1.EXE, kopijo Trojanca, v trdi disk root direktorija. To stori z uporabo stare ranljivosti, opisane v internetnem biltenu MS01-34, da bi se izognil varnostnemu opozorilu o makro virusih, ki so vsebovani v Word dokumentih in zažene svojo lastno kodo avtomatično.Kukudro.A se ne more sam avtomatično razmnoževati in zato potrebuje interakcijo uporabnika. Ta virus se tako širi v priponkah e-mailov, ki nosijo ime My_notebook.doc. Ta datoteka vsebuje specifikacije cele vrste različnih računalnikov laptopov.

Downloader.JIH je Trojanec, ki namešča Sality.S virus na računalnike. Ta virus okuži izvršilne datoteke ij lahko zaključi varnostni proces in ujame sistemske informacije. Ko je enkrat Trojanec zagnan, se priključi na serijo internetnih strani, da bi namestil izvršilno datoteko, ki jo nato shrani na okužen računalnik pod naključnim imenom. Downloader.JIH se ne more širiti sam, ampak mora biti nameščen preko druge škodljive kode, v tem primeru virusa Kukudro.A, ali pa mora biti izvršen s pomočjo uporabnika preko priponke e-maila ali nameščanja datotek z interneta ali P2P omrežij.