Programska oprema
22.08.2005 07:31

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali trojanca Mitglieder.EK, hekersko orodje ModemSpy in pet črvov Zotob.A, Zotob.B, Zotob.D, IRCBot.KC in IRCBot.KD. Razen hekerskega orodja, ki ni zlonamerna programska koda, so vse omenjene primerke prepoznale in nevtralizirale tehnologije TruPrevent™, preden so bili škodljivi programi identificirani.

Mitglieder.EK je trojanec, katerega glavni namen je zaključiti procese, povezane s protivirusnimi aplikacijami in požarnimi pregradami, kot tudi njihove postopke posodabljanja z brisanjem, spreminjanjem in ustvarjanjem novih zapisov v registrski mapi Registry. Poleg tega v tej mapi ustvari tudi zapis, ki zagotovi njegov zagon ob vsakokratnem zagonu prizadetega računalnika. Poskuša tudi naložiti datoteko OSA4.GIF, ki se predstavlja kot slika, v resnici pa je izvršljiva datoteka. Tako kot vsi trojanci se ne more širiti z lastnimi sredstvi, zato se mora prenašati ročno, prek e-pošte, programov za izmenjavo datotek v omrežjih P2P ali drugimi sredstvi.

Zotob.A ind Zotob.B sta dva črva, ki delujeta na enak način – z izkoriščanjem ranljivosti, ki povzroči prekoračitev medpomnilnika v storitvi Windows “Plug and Play”, o katerih je Microsoft poročal v biltenu MS05-039 in prizadene Windows 2000, Windows XP in Windows 2003 Server. Omenjena črva se širita tako, da naključno generirata naslove IP, do katerih se poskušata povezati prek vrat 445, in preverita, ali je računalnik ranljiv. Če jih najdeta, nanje namestita strežnik FTP in poskušata naložiti svojo kopijo prek vrat TCP 33333. Ko dosežeta računalnik, izvedeta dve akciji: blokirata dostop do spletnih mest protivirusnih podjetij in odpreta stranska vrata na prizadetem računalniku ter čakata na ukaze prek kanala IRC. Ti ukazi vključujejo nalaganje, zaganjanje in brisanje datotek.

Zotob.D, IRCBot.KC in IRCBot.KD so trije črvi z zelo podobnimi značilnostmi in ki se tako kot Zotob A in B širijo z izkoriščanjem ranljivosti v storitvi “Plug and Play”. Tudi ti črvi generirajo naključne naslove IP, na katerih iščejo ranljive računalnike, na katere se potem poskušajo povezati prek vrat 445. Če jih najdejo, pošljejo navodila za nalaganje kopije črva prek TFTP. Njihove nadaljnje akcije so odvisne od vrste črva: Zotob.D briše različne oglaševalske in vohunske programe ter prejšnje različice A, B in C. IRCBot.KD poskuša zaključiti procese, povezane s prejšnjimi različicami Zotoba in IRCBot kot tudi nekatere druge škodljive programe. Njune skupne značilnosti so, da oba odpreta stranska vrata, prek katerih prejmeta ukaze prek povezave do določenih kanalov IRC.

Ti trije so udarili veliko ameriških korporacij, kar je povzročilo oranžni alarm. Da bi se izognili okužbam, se uporabnikom priporoča, da vzdržujejo posodobljene protivirusne programe in da namestijo popravke za ranljivost ” Plug and Play”.

ModemSpy je hekersko orodje. Čeprav je legitimna aplikacija, jo lahko hekerji uporabijo za zle namene. Ta program hekerju omogoči snemanje telefonskih pogovorov in njihovo predvajanje ali pošiljanje prek e-pošte, identificiranje klicočih ali snemanje sporočil z uporabo mikrofona. Ima tudi funkcijo, da se pritaji uporabniku z načinom “prikrito”.

Da bi preprečili okužbo s temi in drugimi škodljivimi programi, Panda Software uporabnikom priporoča, da vzdržujejo posodobljene protivirusne programe. Uporabniki Pande Software lahko že dostopajo do posodobitev za odkrivanje in preprečevanje omenjenih zlonamernih kod.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

BILAZ d.o.o.

Sedejeva ulica 8, 5000 Nova Gorica, Tel: 05 333 19 00
Ponudba kakovostnih storitev s kvalitetnimi materiali in "brand name" računalniškimi blagovnimi znamkami jih uvršča v sam vrh tovrstnih ponudnikov. Cenovna politika podjetja je ... Več

ETRUST d.o.o.

Arja vas 101, 3301 Petrovče, Tel: 03 710 37 80
Etrust d.o.o. razvija MES sisteme, namenjene planiranju in optimizaciji proizvodnje, ki so povezljive tudi z ERP sistemi, kot je npr. SAP. Več
Zlati partner

Brown Bear Team (BBT)

Gmajna 16, 1236 Trzin, Tel: 01 5622665
POSLOVNA linija – najboljši računalniki posameznega proizvajalca Računalniki iz POSLOVNE linije so tisti, na katere se lahko zanesemo, saj gre za izdelke najvišje kakovosti ... Več
Zlati partner

TEKSEL d.o.o.

Tržaška cesta 132, 1000 Ljubljana, Tel: 01 620 77 25
Skoraj vsak mora vsebino, namen in vrednost svojega dela sporočiti strankam, obiskovalcem ali sodelavcem. Multimedijska oprema z integriranimi avdio in video funkcijami pomaga širiti ... Več