Tedensko poročilo o virusih

V poročilu o virusih in vdorih tega tedna bomo pogledali sedem črvov -Bagle.BC, Zafi.C, različici B in C črva Famus, Swash.A, Buchon.A in Buchon.B ter program za vohunjenje Spyware/Spydeleter.

Bagle.BC se širi po e-pošti v sporočilu z različnimi značilnostmi, preko programov za izmenjavo datotek v omrežjih P2P in po omrežjih. Odpre vrata TCP 81 in na njih prisluškuje komunikacijam za povezavo na daljavo. Preko te povezave bo črv omogočil oddaljeni dostop do prizadetega računalnika. To bo napadalcu omogočilo izvesti akcije, ki lahko prizadenejo zaupnost podatkov uporabnika ali motijo naloge, ki se izvajajo. Bagle.BC zaključi tudi procese, ki pripadajo varnostnim orodjem, kot so protivirusne aplikacije, s čimer postane računalnik ranljiv za napade drugih.

Zafi.C se širi po programih za izmenjavo datotek in preko e-pošte. Za širjenje uporabi lastne SMTP procedure in se pošilja na naslove, katerih domene ne vsebujejo določenih tekstovnih nizov. Te naslove pridobi iz datotek s končnicami htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml ali pmr, ki jih najde na prizadetem računalniku.

Jezik sporočila, v katerem se širi Zafi.C, se razlikuje glede na končnico domene, iz katere je poslano sporočilo. Če domena pripada državam: Nemčija, Češka, Danska, Španija, Finska, Francija, Madžarska, Nizozemska, Litva, Norveška, Poljska ali Švedska, se bo sporočilo prikazalo v ustreznem jeziku, sicer pa v angleščini.

Zafi.C poskuša povzročiti zavrnitev storitev (Denial of Service – DoS) na tri spletna mesta, ki pripadajo Googlu, Microsoftu in madžarskemu premieru. Zaključi procese, ki vsebujejo nize ‘firewall’ in ‘virus’ ter prepreči dostop do aplikacij, ki vključujejo besedilo ‘reged’, ‘msconfig2’ in ‘task2’.

Poročilo bomo zaključili s programov za vohunjenje Spyware/Spydeleter, ki se avtomatično naloži, ko uporabniki obiščejo spletne strani, ki vsebujejo povezave do zlonamernih java skript, ki jih poskušata namestiti na prizadeti računalnik. Ko sta nameščena, naložita druge aplikacije za vohunjenje preko FTP. Ustvari tudi več procesov in jih pusti rezidenčne v pomnilniku, tako da tečejo ves čas.

Spyware/Spydeleter ustvarita več zapisov v Windows Registry, katerih najpomembnejši učinek je, da spremenita domačo stran v brskalniku Internet Explorer, kar je lahko opozorilo za uporabnike. Stran, ki jo postavi za domačo, vsebuje povezavo, kjer naj bi uporabnik našel pomoč za čiščenje računalnika. Vendar pa se, če uporabnik klikne na povezavo, odpre stran, s katere naj bi se naložil Spy Deleter, ki naj bi brisal aplikacijo za vohunjenje za 29 dolarjev. SpyDeleter je očitno programirala ista oseba, ki je ustvarila in distribuirala Spyware/Spydeleter.