Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali tri varnostne probleme, ki prizadenejo več Microsoftovih izdelkov in lahko napadalcu omogoči prevzem nadzora nad ranljivimi sistemi, dva trojanca – Mitglieder.HE in Spymaster.A -, ter črva Mytob.ML.

Prvi varnostni problem ogroža Office 2000 SP3, Office XP SP3, Office 2003 SP1 in SP2 ter strežnik Exchange Server. Izvira iz načina, kako Outlook in Exchange Server kriptirata e-poštna sporočila s protokolom TNEF (Transport Neutral Encapsulation Format).

Druga ranljivost prizadene sisteme Windows 2003/XP/2000/Me/98 in izvira iz načina, kako Windows procesira zlonamerne vpete spete fonte. To lahko napadalec izkoristi za gostovanje spletnih fontov na posebej narejeni spletni strani in privabi uporabnike k obisku ali pošilja e-pošto z zlonamernimi spletnimi fonti.

Tretja ranljivost je v prikazovalniku Graphics Rendering Engine na računalnikih z Windows 2003/XP/2000 in lahko omogoči zagon poljubne kode na ranljivih sistemih. To lahko napadalec izkoristi za gostovanje slike WMF (Windows MetaFile) na spletni strani in prepriča uporabnike k obisku ali pošlje e-pošto s sliko WMF.

Microsoft je objavil tri varnostne biltene – MS06-003, MS06-002 in MS06-001 -, v katerih je obvestil o dostopnosti do popravkov za te tri ranljivosti. Uporabnikom ogroženih sistemov se priporoča, da jih namestijo.

Mitglieder.HE je trojanec, ki ga mora napadalec ročno širiti, čeprav lahko zažene tudi strežnik SMTP in pošlje svojo kopijo po e-pošti.

Mitglieder.HE odpre vrata 9031 na okuženih računalnikih in deluje kot namestniški (proxy) strežnik. Poleg tega čaka kontrolne ukaze na daljavo, kot so nalaganje in zaganjanje datotek zaganjanje strežnika SMTP, spreminjanje dostopnih vrat ali posodabljanje sebe.

Spymaster.A je trojanec, ki se tako kot Mitglieder.HE ne širi avtomatično. Običajno se širi po e-pošti v sporočilu s priponko SERVER.EXE.

Spymaster.A beleži udarce na tipkovnico, da bi pridobil gesla in druge zaupne informacije, ter nadzoruje obiskane spletne strani. Istočano lahko vidi programe, ki tečejo in ustvarjene datoteke, ki jih uporabnik spreminja ali briše. Zbrane informacije shrani v datoteko, ki jo pošlje na strežnik FTP. Uporablja tudi sistem, da se kaže kot program MSN messenger, da se uporabnik ne bi zavedal njegove prisotnosti.

Mytob.ML je črv, ki se širi po e-pošti v sporočilu s povezavo. Ko okuži računalnik, se poveže na strežnik IRC in čaka kontrolne ukaze na daljavo. Zaključi tudi procese, ki pripadajo drugim škodljivim programom in določenih varnostnim programom ter prepreči dostop do spletnih strani, predvsem tistih, ki pripadajo varnostnim podjetjem.

Za podrobnejše informacije o omenjenih in drugih virusih in grožnjah obiščite virusno enciklopedijo Pande Software na http://www.pandasoftware.com/virus_info/encyclopedia/.