Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih v prejšnjem tednu so se v laboratorijih PandaLabs osredotočili na trojance Therat.B, Alanchum.UG, Redirection.A in črva TellSky.A.

Therat.B je trojanec, ki beleži udarce na tipkovnico, ki doseže računalnike po e-pošti, prek nalaganja z interneta, ipd. Ima tudi posebej nevarno funkcijo: lahko ukrade gesla, shranjena v funkciji samo-dokončanja internetnih brskalnikov, ki se uporabljajo za to, da zaključijo uporabniška imena in gesla v spletnih obrazcih, ko se vnese prvi ali prva dva znaka.

Namen Therat.B je kraja uporabniških imen, gesel, spletnih naslovov, ipd. Vse te informacije potem trojanec pošlje svojemu avtorju preko e-pošte.

Therat.B na sistemu naredi določene spremembe, da zagotovi svoj zagon ob vsakokratnem zagonu sistema.

“To je jasen primer, kako se lahko kombinira vrsta zlonamernih funkcij v enem primerku škodljivega programa. V tem primeru se je v enem trojancu združilo več tehnik za krajo zaupnih podatkov. Z izkoriščanjem različnih strategij za krajo podatkov, lahko kibernetični prevaranti povečajo verjetnost uspeha,” pojasnjuje tehnični direktor laboratorijev PandaLabs Luis Corrons.

Alanchum.UG je nov dodatek družini Alanchum, eni najbolj aktivnih v zadnjih nekaj mesecih. To posebno različico naložijo druge zlonamerne kode, vključno z oglaševalskih programom CWS.

Spremeni register Windows, da zagotovi svoj zagon ob vsakokratnem zagonu sistema. Narejen je za pošiljanje neželene e-pošte. To naredi tako, da zbere e-naslove iz okuženih računalnikov in jih shrani na spletni strani.

Za težje odkritje ima ta trojanec funkcije korenskih orodij (rootkitov), da skrije svoje procese.

Redirection.A je trojanec vrste “stranska vrata”. Tako kot vsi trojanci te vrste, odpre stranska vrata na okuženem računalniku. Potem se poveže na strežnik IRC in omogoči nadzor računalnika na daljavo.

Izvaja lahko vrsto zlonamernih akcij: pridobivanje informacij o okuženem sistemu (IP, značilnosti,…); aktivacija strežnika FTP za nalaganje in izvrševanje drugih zlonamernih kod na računalniku

Redirection.A je narejen tudi za pregled naslovov IP in išče računalnike z nameščenim programom VNC. Ta program omogoča nadzor računalnikov na daljavo. Če najde take računalnike, se bo namestil tudi na teh sistemih.

Lahko se tudi odstrani sam, tako da zbriše vnose v register, ki jih je ustvaril, zato ga je še težje odkriti.

Današnje poročilo bomo zaključili s črvom TellSky.A. Skopira se na trdi disk pod imeni, kot sta Girl.exe ali Downloader.exe. Spremeni tudi register Windows, da zagotovi svoj zagon ob vsakokratnem zagonu sistema.

Ob prvem zagonu prikaže obvestilo o napaki. To obvestilo je namenjeno, da pritegne pozornost uporabnikov, medtem ko TellSky.A izvaja zlonamerne akcije. Te akcije vključujejo preprečevanje pravilnega delovanja varnostnih rešitev. Potem se skuša povezati na spletno stran, s katere se lahko naložijo druge datoteke.

TellSky.A onemogoči več funkcij na sistemu, vključno z možnostmi Run v meniju Start in izbire Folder. Več sprememb je narejenih, da zmanjša varnost ali blokira funkcionalnosti, ki se lahko uporabijo, da ga locirajo.