Tedensko poročilo o virusih in vdorih

V tedenskem poročilu o virusih in vdorih bomo pogledali črve Crowt.A, Mydoom.AG, Cisum.A, Bagle.BK in Bagle.BL.

Crowt.A je črv, ki se širi po e-pošti v sporočilih, ki vsebujejo besedilo vodilnih naslovov s spletnega mesta CNN, Ta zlonamerna koda ustvari stranska vrata na prizadetem računalniku, da bi preko njih prejela ukaze od oddaljenih napadalcev. Namesti tudi program, ki shranjuje udarce na tipkovnico (keylogger), ki se lahko uporablja za krajo zaupnih podatkov, kot so gesla za dostop do online bančnih storitev.

Crowt.A zbriše tudi piškotke, shranjene na računalniku in odpre internetni brskalnik na določeni spletni strani.

Mydoom.AG je nova različica črva, ki je pred slabim letom dni povzročil svetovno epidemijo. Ta zlonamerna koda spremeni datoteko HOSTS, tako da prizadeti uporabnik ne more dostopati do spletnih mest določenih protivirusnih proizvajalcev. Zaključi tudi procese, ki pripadajo različnim protivirusnim programom. Širi se po e-pošti in preko programov za izmenjavo datotek v omrežjih P2P.

Cisum.A je črv, katerega najbolj prepoznavna značilnost je ta, da žali uporabnika s tem, da na zaslonu kaže besedilo ‘YOU ARE AN IDIOT’ med igranjem avdio datoteke MP3 z enakim sporočilom. Ta zlonamerna koda se lahko širi avtomatično po računalniških omrežjih. Če uporabnik v omrežju zažene datoteko s črvom Cisum.A, se le-ta prekopira pod imenom ProjectX.exe v korenski direktorij skupnih omrežnih pogonov.

Cisum.A zaključi tudi procese, ki pripadajo določenim protivirusnim programom in drugim varnostnim aplikacijam, s čimer pusti računalnik ranljiv za napade drugih. Ustvari tudi več zapisov v registrski mapi Windows Registry, da zagotovi svoj zagon ob vsakokratnem zagonu računalnika.

Različici BK in BL razvpitega črva Bagle dosežeta računalnike v sporočilih z lažnimi naslovi pošiljatelja in naključno izbranim naslovom sporočila (zadeva) iz seznama možnosti. Nekateri primeri so: ‘Delivery by mail’ ali ‘Delivery service mail’. Telo sporočila vsebuje besedilo, kot sta npr.: ‘Before use read the help’ ali ‘Thanks for use of our software’. Imena priponk so različna, vedno pa imajo eno od naslednjih končnic: COM, CPL, EXE ali SCR. Za širjenje preko aplikacij v omrežjih P2P, kot so KaZaA ali Morpheus, se ti črvi prekopirajo pod imeni ACDSee 9.exe, Adobe Photoshop 9 full.exe ali Ahead Nero 7.exe.

Če se datoteka s črvom zažene, se avtomatično razpošlje na vse naslove, ki jih najde v datotekah z določenimi končnicami z uporabo lastnih SMTP procedur. Ti dve različici Bagla zaključita tudi procese, ki pripadajo različnim protivirusnim programom in drugim varnostnim aplikacijam.

Tekoče informacije o stanju okuženosti z virusi po svetu lahko spremljate na brezplačnem informacijskem virusnem portalu Pande Software http://www.virusportal.com, na katerem so združena tudi brezplačna orodja za boj proti virusom.