Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali črva Sdbot.FHG, tri trojance Multidropper.AYC, Tahen.A in Tahen.B ter ranljivosti iz Microsoftovih biltenov MS05-044 do MS05-052.

Sdbot.FHG je črv iz plodne družine Sdbot, ki deluje kot stranska vrat, se poveže na več strežnikov IRV, da bi prejemal nadzorne ukaze na daljavo. Lahko dobi ukaz za nalaganje in zaganjanje datotek, zaganjanje storitev Windows, ipd. Za širjenje po internetu izkorišča ranljivosti LSASS, RPC DCOM, ‘Workstation Service’ in ‘Plug and Play’, zato je priporočljivo, da uporabniki vzdržujejo svoje sisteme posodobljene in imajo nameščene zanesljive protivirusne programe.

Multidropper.AYC je trojanec, ki deluje kot vstopna točka na računalnik za druge vrste škodljivih programov na enak način kot drugi predstavniki te družine. Na računalnik namesti trojanca Siboco.A in vohunski program Omi, ki na računalniku izvaja več akcij, vključno s pojavljanjem številnih oken pop-up, povezav na oddaljene spletne strani in celo zaključevanje procesa EXPLORER.EXE.

Tahen.A in Tahen.B sta podobna trojancu PSP.Format.A, ki prizadene igralne konzole. Za razliko od slednjega, ki je ciljal na PlayStation Portable (PSP), prva dva prizadeneta NintendoDS. Simulirata domače aplikacije te konzole, po namestitvi prepišeta določene dele vgrajene programske opreme (firmware), s čimer preprečita zagon konzole, ko se enkrat ugasne. Tahen te naprave pogosto doseže v datoteki R0MLOADER.NDS (v primeru Tahen.A), TAIHEN.ZIP ali TAIHEN.NDS (v primeru Tahen.B), in ogroža naprave Nintendo DS, G6, XGFlash, SuperFlash in GBAMP. Tahen.B je enostavno prepoznati, saj na zaslonu prikaže sporočilo. Tahen.A pa ne kaže očitnih simptomov okužbe.

Današnje poročilo bomo zaključili z ranljivostmi, o katerih je Microsoft poročal v svojih varnostnih biltenih. Med njimi so tri ranljivosti kritične:

o MS05-050 je kritična ranljivost, ki ogroža različice 7.0, 8.0, 8.1, 8.2 in 9.0 kontrol DirectX ter omogoča zagon arbitrarne kode na ranljivih sistemih.
o MS05-051 je skupina ranljivosti v treh storitvah Windows, MSDTC (Microsoft Distributed Transaction Coordinator), COM+ in TIP (Transaction Internet Protocol)
o MS05-052 je kumulativen popravek za Internet Explorer, različice 5.0, 5.5 in 6, ki objektom COM prepreči namestitev kot kontrole ActiveX, prepreči spreminjanje sistemskega pomnilnika in zagon arbitrarne kode.

Štiri ranljivosti, ki omogočajo izvršitev kode na daljavo, ki so označene kot pomembne, prizadenejo ‘Microsoft Collaboration Data Objects’, ‘Windows Shell’, ‘Client Services for NetWare’ in ‘Plug and Play’. Te ranljivosti obravnavajo bilteni MS05-48, MS05-49, MS05-46 oziroma MS05-47. Dve ranljivosti iz biltenov MS05-44 in MS05-45 pa so označene kot srednje in prizadenejo odjemalca FTP in ‘Network Connection Manager’.