Tedensko poročilo o virusih in vdorih

Od teh črvov nas že pošteno boli glava.

V poročilu o virusih in vdorih preteklega tedna bomo pogledali črva Gaobot.GLV in Oscarbot.F ter trojanca Sober.W. slednji je trojanec, katerega namen je masovno pošiljanje sporočil v angleškem in nemškem jeziku z vsebino, povezano z gibanjem ekstremnih desničarjev v Nemčiji, ki namigujejo na drugo svetovno vojno in obletnico njenega konca. Kot je običajno za trojance, se Sober.W ne more širiti sam, ampak se širi po običajnih kanalih, pri čemer ga je potrebno ročno zagnati. Ko se zažene, začne zbirati e-naslove iz datotek s končnicami, ki ustrezajo seznamu v kodi trojanca. Ko pridobi naslove, začne nanje pošiljati e-pošto z naključno izbranim sporočilom od 30 sporočil, ki jih ima v kodi, pri čemer uporabi lažno ime pošiljatelja. V registru naredi več zapisov, da zagotovi svojo izvršitev ob vsakokratnem zagonu računalnika. Programiran je bil, da neha pošiljati neželeno e-pošto (spam) 23. maja, potem pa začne nalagati datoteke z več spletnih naslovov v kodi trojanca.

Oscarbot.F je črv z značilnostmi stranskih vrat, ki se širi prek AOL Instant Messenger (AIM), priljubljenega programa za internetne pogovore, tako da pošilja sporočila na vse naslove v imeniku prizadetega uporabnika. Sporočila vsebujejo spletni naslov URL, s katerega na prizadeti računalnik naloži črva Oscarbot.F ali druge zlonamerne programe. Ko je nameščen, se poveže na strežnik IRC in čaka na ukaze oddaljenega uporabnika, da naloži ali zažene programe, se širi preko AIM, ipd. Uredi tudi določene registrske zapise, da zagotovi svoj zagon ob vsakokratnem zagonu sistema.

Glavni namen črva Gaobot.GLV je zaključiti procese, ki pripadajo več varnostnim orodjem, kot so protivirusni programi in požarni zidovi, preprečiti uporabnikom dostop do več spletnih strani, predvsem tistih, ki pripadajo protivirusnim podjetjem in drugim podjetjem za IT varnost (to naredi tako, da spremeni datoteko HOSTS) in namestiti strežnik TFTP. Vsebuje tudi orodje, narejeno za skrivanje njegovih akcij, ki pa ne deluje pravilno na sistemih Window XP.

Gaobot.GLV se širi po internetu in po skupnih virih omrežja. Po prvem načinu poskusi izkoristiti ranljivosti LSASS, RPC DCOM, WINS, Workstation Service Buffer Overrun in Buffer Overrun na SQL Server 2000 Resolution Service, poskuša pa dostopiti tudi do računalnikov s strežniki SQL Server s praznimi gesli. Pri širjenju po skupnih mrežnih virih poskuša izkoristiti šibka gesla ali uporabniška imena (tipična gesla ali taka, ki jih je enostavno uganiti). Če je uspešen, naredi svoje kopije na skupnih virih.