Tedensko poročilo o virusih in vdorih

Tedensko poročilo o virusih in vdorih laboratorijev PandaLabs se tokrat osredotoča na trojanca Banker.FLO in TnegA.A, črva IrcBot.AIV ter hekersko orodje WKSSVC.

Banker.FLO je trojanec, ki nadzoruje promet preko interneta, ustvarjen ob dostopu uporabnika do spletnih strani, povezanih z bankami: Banco do Brasil, Bradesco, Itau in Santander Banespa. Trojanec beleži udarce na tipkovnico ob prijavi so njihovih spletnih mest. Tako ulovi uporabniška imena in gesla, ki jih potem pošlje avtorju zlonamerne kode.

Banker.FLO se ne more širiti avtomatično z lastnimi sredstvi, ampak ga mora prenašati napadalec. Tipično se širi z uporabo disket, omrežij P2P, e-pošte, prek nalaganja z interneta, ipd.

Težko ga je odkriti, saj ne prikaže kakršnihkoli opozoril o svoji prisotnosti.

TnegA.A je trojanec vrste stranska vrata, ki se poveže na strežnih, da bi omogočil dostop na daljavo do okuženih računalnikov ter s tem ogrozil zaupnost ter preprečil normalno delovanje računalnika za uporabnika.

Uporabnikom prepreči dostop do določenih spletnih mest, posebej tistih, ki pripadajo protivirusnim podjetjem. Prepreči tudi zagon določenih nadzornih in nastavitvenih orodij, kot je Windows Registry Editor.

TnegA.A za širjenje prav tako zahteva intervencijo napadalca. Kot tipičen primerek tovrstnega škodljivega programja se lahko širi na različnih medijih, vključno s CD-ROM-i, kanali IRC, prek nalaganja z interneta, ipd.

IrcBot.AIV ima značilnosti stranskih vrat, saj se poveže na kanal IRC, da sprejme ukaze na daljavo in jih izvrši na gostujočem računalniku. Da bi okužil druge sisteme, črv namesti lasten strežnik FTP na okuženi računalnik.

IrcBot.AIV za širjenje uporablja dva načina. Naredi svojo kopijo na skupnih mrežnih virih, do katerih ima dostop. Po drugi strani pa se širi tudi po internetu z izkoriščanjem ranljivosti LSASS, RPC DCOM, in UPnP. Zato je priporočljivo z Microsoftovega spletnega mesta prenesti in namestiti varnostne popravke, ki te ranljivosti odpravljajo.

WKSSVC je zlonamerna koda, ki temelji na ranljivosti v datoteki WKSSVC.DLL na računalnikih z Windows XP/2000. Če je računalnik ranljiv za WKSSVC, lahko hekerjem omogoči zagon kode na daljavo.

Za odpravo ranljivosti je priporočljivo prenesti in namestiti popravek za ranljivost v storitvi Workstation Service, vključenem v Microsoftov bilten MS06-070. Ta posodobitev se lahko pretoči brezplačno z naslova: http://www.microsoft.com/technet/security/bulletin/ms06-070.mspx.