Noomy.A – zahrbtni črv

V laboratoriju PandaLabs so pred kratkim odkrili pojav novega in naprednega črva Noomy.A. Čeprav še ni bilo poročil o incidentih s tem črvom, ima Noomy.A več značilnosti, ki jih je vredno poudariti, saj lahko predstavljajo nov trend v tehnikah zlonamernih kod.

Noomy.A je črv, napisan v jeziku Visual Basic, ki se širi preko e-pošte in kanala IRC. Prenaša se v sporočilu z zelo različnimi značilnostmi, saj sta Zadeva in vsebina sporočila izbrana naključno iz dolgega seznama možnosti. Ime priponke, ki vsebuje kodo črva, je prav tako izbrano naključno. Če uporabnik požene to datoteko, se Noomy.A pošlje na vse naslove, ki jih najde na okuženem računalniku v datotekah s končnicami.dbx, .htm, .html ali .php, razen tistih, ki vsebujejo določene nize.

Do tu se Noomy.A v ničemer ne razlikuje od tradicionalnih poštnih črvov. Uporablja pa nekonvencionalne tehnike za širitev preko kanalov IRC. Na prizadetem računalniku ustvari strežnik HTTP in ustvari veliko število datotek, ki vsebujejo kopijo črva. Imena teh datotek so med drugim 2004serials.pif, Ageofempires2crack.exe, AgeOfMythologyISO.exe, AnaKurnikovaVirualGirl2004.scr, ipd.

Potem se Noomy.A poveže in prijavi na različne kanale IRC, kot da bi bil prizadeti uporabnik, in začne pošiljati sporočila v različne klepetalnice. Ta sporočila uporabljajo tehnike socialnega inženiringa, da pridobijo pozornost uporabnika in datoteke s privlačnimi imeni, da uporabnike prepričajo, da jih pretočijo na svoje računalnike.

Spodaj sta primera takih sporočil:

– everyone interested in the newest cracks can visit my private server while im online there’s other things on it too (kogar zanimajo najnovejši “cracki”, lahko obišče moj privatni strežnik v času, ko sem online; tudi druge stvari)

– download Britney Spears virual girl screensaver at my private server while im online (pretočite ohranjevalnik zaslona Britney Spears v času, ko sem online)

Sporočilo vsebuje povezave, ki kažejo na strežnike, narejene na prizadetem računalniku. ČE uporabnik klikne na povezavo, se odpre stran, ki se pretvarja, kot da nalaga datoteke, ponujene v klepetalnicah. Vendar pa so dejansko naložene datoteke pravzaprav okužene datoteke, ki jih je ustvaril Noomy.A.

Da bi naredil te strani bolj realistične, Noomy.A vgradi več stilskih predlog (style sheets) na strežniku na prizadetem računalniku. Zato bo prikazana različna stran, tudi če se uporabnik poveže večkrat na enak spletni naslov.

Noomy.A zaključi tudi procese, ki pripadajo različnim protivirusnim rešitvam in drugim varnostnim orodjem. To mu omogoči izvajanje akcij brez ovir. Še več, računalnik ostane brez zaščite pred drugimi grožnjami z interneta, ki bi se lahko pojavile.

Še ena zanimiva značilnost črva Noomy.A je, da je programiran za izvedbo napada na spletne strani različnih razvijalcev programja, vključno z Microsoftom.