Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih tega tedna se bomo osredotočili na Winxor.A, Breacuk.E in Asan.A

Winxor.A je prvo zlonamerna koda, narejena za izkoriščanje ranljivosti WINS, ki omogoča zagon poljubne kode na strežnikih Windows 2003/XP/2000/NT/Me/98/95. Winxor.A lahko prizadene tudi računalnike na Windows 2003/XP/2000/NT/Me/98/95.

Winxor.A se poveže na strežnik IRC in čaka na ukaze (kot so nalaganje datotek ali zaganjanje programov). Ko avtor te zlonamerne kode določi, Winxor.A preišče naslove IP, da bi našel odprta vrata. Če le-ta pripadajo strežnikom, ki jih prizadene ta varnostna pomanjkljivosti, na vratih 36010 namesti strežnik FTP in ga uporabi za prenos sebe na te računalnike.

Ko doseže računalnike, Winxor.A izvede naslednje akcije:

– Ustvari dve datoteki: CCEVTMNGR.EXE, ki je njegova kopija in CCSETMNGR.EXE, ki je sestavina, ki išče oddaljene računalnike, ki jih prizadene ranljivost WINS, da bi jo poskusil izkoristiti.

– Ustvari več zapisov v registrski mapi Windows Registry, da bi zagotovil svoj zagon ob vsakokratnem zagonu računalnika.

Breacuk.E je črv, ki se širi preko programa KaZaA za izmenjavo datotek v omrežjih P2P (peer-to-peer). Za to sledi naslednjim postopkom:

– Ustvari direktorij SOFTWARE KINGS AND QUEENS v direktoriju Windows in jo deli preko programa KaZaA.

– V tem direktoriju ustvari več svojih kopij s privlačnimi imeni, da bi jih uporabniki naložili, misleč, da gre za igre in druge aplikacije. Vendar pa se bo ob zagonu pretočene datoteke računalnik okužil s črvom Breacuk.E.

Breacuk.E izbriše datoteke z določenimi končnicami, vključno z: EXE, DLL, OCX in BMP, s čimer prepreči pravilno delovanje določnih aplikacij. Povzroča tudi probleme pri prižiganju prizadetega računalnika.

Asan.A je črv, ki prizadene strežnike z ranljivimi različicami programa phpBB in jih je predhodno napadel črv, ki ga je Panda Software identificirala kot PHP/Santy.A. V tem primeru odstrani ranljivost iz strežnika, čeprav to lahko vodi do izgube določenih funkcionalnosti.