Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih v prejšnjem tednu so se v laboratorijih PandaLabs osredotočili na trojanca ShotOne in Yabarasu, družino črvov Rinbot ter virus Expiro.A.

ShotOne na okuženem računalniku povzroča vrsto problemov. S spremembami v registru Windows lahko prepreči posodabljanje operacijskega sistema Windows in prepreči dostop do menija Datoteka (File) v brskalniku Internet Explorer ali raziskovalcu Windows Explorer. Lahko skrije tudi lastnosti v mapah Moji dokumenti (My documents) in Moj računalnik (My computer).

Drugi škodljivi učinki vključujejo onemogočanje menija z desnim klikom miške v opravilni vrstici in gumb Start, skrivanje ikon Notification Area ter preprečevanje dostopa do možnosti Run in Search v meniju Start.

Ta trojanec se zažene ob vsakokratnem zagonu sistema. Takrat prikaže več zaslonov, ki onemogočijo rabo računalnika. Računalnike, ki jih je okužil, tudi ugaša in ponovno zaganja vsake tri ure.

V laboratorijih PandaLabs so ustvarili video za prikaz nekaterih učinkov tega trojanca. Dostopen je na: http://www.pandasoftware.com/img/enc/ShotOne.wmv

Yabarasu se zažene ob vsakokratnem zagonu sistema in prikaže spodnje okno.

Prekopira se na okužene sisteme. Da bi pretental uporabnike, skrije vse končnice datotek in orodje za prikaz informacij ob prehodu kazalca miške nad datoteko v sistemu Windows. Skrije tudi mape v pogonu C: in jih zamenja s svojimi kopijami z enakim imenom in ikonami kot original. Ko uporabnik zažene eno od teh datotek, bo v resnici zagnal trojanca.

Both ShotOne in Yabarasu računalnike dosežeta preko e-pošte, nalaganja datotek, okuženih pomnilniških naprav, ipd.

V preteklem tednu so v laboratorijih PandaLabs odkrili več različic črvov družine Rinbot: Rinbot.B, Rinbot.F, Rinbot.G in Rinbot.H. Ti črvi se širijo tako, da se skopirajo na mapirane pogone ali skupne omrežne vire. Prekopirajo se tudi na naprave USB (predvajalnike MP3, spominske ključe,…), ki se povežejo na računalnik.

Nekatere različice za širjenje izkoriščajo tudi določene ranljivosti. Rinbot.B npr. izkorišča ranljivosti LSASS in RPC DCOM. Popravki za te varnostne pomanjkljivosti so dostopni že nekaj časa.

Rinbot.G izkorišča ranljivost v SQL Server, da se predstavlja kot uporabnik. Ko doseže računalnik, naloži svojo kopijo prek TFTP. Potem se zažene na sistemu.

Rinbot.H za širjenje prav tako izkorišča ranljivost. Išče strežnike z ranljivostjo MS01-032, ki jo je Microsoft odpravil v biltenu z enakim imenom.

Črvi Rinbot so narejeni, da odpirajo vrata na računalniku in se povežejo na strežnik IRC. To krekerju omogoči nadzor računalnika na daljavo.

Z interneta naložijo tudi trojanca Spammer.ZV, ki je narejen za pošiljanje neželene e-pošte na naslove, ki jih najde na okuženih računalnikih. Spremenijo tudi varnostne nastavitve in sistemska dovoljenja v brskalniku Internet Explorer in tako zmanjšajo varnostno raven računalnika.

Zanimiv vidik kode črva Rinbot.B je, da vključuje transkript, za katerega trdi, da je intervju TV mreže CNN z avtorji črva, ki pojasnjujejo svoje razloge za ustvarjanje tega črva. Besedilo lahko preberete tukaj.

“To je ena najbolj opaznih značilnosti novih trendov škodljivega programja. Avtorji zlonamernih programskih kod povečajo verjetnost okužb računalnikov tako, da razpošiljajo številne različice, skoraj simultano. To zmanjša tudi javno skrb o grožnjah, zato uporabniki niso pozorni,” pojasnjuje tehnični direktor laboratorijev PandaLabs Luis Corrons..

Virus Expiro.A okuži izvršljive datoteke (.exe) v mapi Program Files in njenih podmapah. Okuži tudi direktorij s kopijami virusa.

Ko uporabnik odpre okuženo datoteko, se virus zažene hkrati z izvorno datoteko. To naredi, da zbega uporabnike, daj ne bodo videli vidnih znakov okužbe.

Expiro.A ustavi svoje procese, če sumi, da ga pregledujejo varnostne rešitve. Več sekcij zlonamerne kode je šifriranih, da bi ga bilo težje odkriti.