Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih tega tedna se bomo osredotočili na dva črva – Bagle.BN in Mytob.A – ter dva trojanca – Mitglieder.BO in Tofger.AT.

Da bi okužila čim več računalnikov, Bagle.BN in Mitglieder.BO delata skupaj z roko v roki. Mitglieder.BO doseže računalnike v priponki z imenom price.zip ali price2.zip ipd. Če uporabnik požene datoteko, se trojanec aktivira in se poskuša povezati na internetni naslov, v katerega naloži črva Bagle.BN. Ko je Bagle.BN nameščen, pošlje trojanca Mitglieder.BO na naslove, ki jih najde v datoteki EML.EXE, ki jo prav tako naloži z interneta. Za te akcije uporabi lastne SMTP procedure.

Mitglieder.BO zaključi procese, ki pripadajo različnim protivirusnim programom in varnostnim aplikacijam ter prepiše datoteko Windows hosts, da prepreči uporabnikom povezavo do določenih spletnih strani.

Bagle.BN odpre vrata TCP 80 in čaka na vzpostavitev povezave na daljavo. Ko se to zgodi, dovoli povezavo na daljavo do okuženega računalnika in dovoli akcije, ki škodujejo zaupnim informacijam uporabnika ali motijo pravilno izvajanje nalog.

Drugi črv v današnjem poročilu je Mytob.A, ki se širi po e-pošti v sporočilu z različnimi značilnostmi in preko interneta. V tem primeru napade naključne naslove IP, na katerih poskuša izkoristi ranljivost LSASS.

Mytob se poveže na strežnik IRC in čaka na oddaljene kontrolne ukaze, ki jih bo izvedel na okuženem računalniku. Zbriše tudi različice drugih črvov, kot so Netsky, Sobig, Bagle in Blaster.

Tofger.AT je trojanski konj, ki se naloži na računalnike, ko uporabnik dostopi do določenih spletnih strani, ki uporabljajo različne načrte izkoriščanja – LoadImage, ByteVerify in MhtRedir.gen – za nalaganje škodljivih programov na računalnik. Ta trojanec se namesti kot Browser Helper Object (BHO), tako da se zažene ob vsakokratnem zagonu brskalnika Internet Explorer.

Tofger.AT sledi akcijam, ki jih izvaja uporabnik in geslom za dostop do spletnih strani na varnih povezavah HTTPS. Ko odkrije določena imena v naslovih URL, poskuša ujeti gesla za dostop do naslednjih bank: cajamadrid, bpinet, millenniumbcp, hsbc, barclays, lloydstsb, halifax, autorize, bankofamerica; bancodevalencia, cajamar, portal.ccm, bancaja, caixagalicia, caixapenedes, ebankinter, caixasabadell, bes, banif, millenniumbcp, totta, bancomais, montepiogeral, bpinet, patagon, lacaixa, citibank, bbvanet, banesto, e-trade in unicaja. Ko ujame te informacije, jih pošlje na strežnik.