Računalništvo, telefonija
23.05.2005 08:24

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih


Od teh črvov nas že pošteno boli glava.

V poročilu o virusih in vdorih preteklega tedna bomo pogledali črva Gaobot.GLV in Oscarbot.F ter trojanca Sober.W. slednji je trojanec, katerega namen je masovno pošiljanje sporočil v angleškem in nemškem jeziku z vsebino, povezano z gibanjem ekstremnih desničarjev v Nemčiji, ki namigujejo na drugo svetovno vojno in obletnico njenega konca. Kot je običajno za trojance, se Sober.W ne more širiti sam, ampak se širi po običajnih kanalih, pri čemer ga je potrebno ročno zagnati. Ko se zažene, začne zbirati e-naslove iz datotek s končnicami, ki ustrezajo seznamu v kodi trojanca. Ko pridobi naslove, začne nanje pošiljati e-pošto z naključno izbranim sporočilom od 30 sporočil, ki jih ima v kodi, pri čemer uporabi lažno ime pošiljatelja. V registru naredi več zapisov, da zagotovi svojo izvršitev ob vsakokratnem zagonu računalnika. Programiran je bil, da neha pošiljati neželeno e-pošto (spam) 23. maja, potem pa začne nalagati datoteke z več spletnih naslovov v kodi trojanca.

Oscarbot.F je črv z značilnostmi stranskih vrat, ki se širi prek AOL Instant Messenger (AIM), priljubljenega programa za internetne pogovore, tako da pošilja sporočila na vse naslove v imeniku prizadetega uporabnika. Sporočila vsebujejo spletni naslov URL, s katerega na prizadeti računalnik naloži črva Oscarbot.F ali druge zlonamerne programe. Ko je nameščen, se poveže na strežnik IRC in čaka na ukaze oddaljenega uporabnika, da naloži ali zažene programe, se širi preko AIM, ipd. Uredi tudi določene registrske zapise, da zagotovi svoj zagon ob vsakokratnem zagonu sistema.

Glavni namen črva Gaobot.GLV je zaključiti procese, ki pripadajo več varnostnim orodjem, kot so protivirusni programi in požarni zidovi, preprečiti uporabnikom dostop do več spletnih strani, predvsem tistih, ki pripadajo protivirusnim podjetjem in drugim podjetjem za IT varnost (to naredi tako, da spremeni datoteko HOSTS) in namestiti strežnik TFTP. Vsebuje tudi orodje, narejeno za skrivanje njegovih akcij, ki pa ne deluje pravilno na sistemih Window XP.

Gaobot.GLV se širi po internetu in po skupnih virih omrežja. Po prvem načinu poskusi izkoristiti ranljivosti LSASS, RPC DCOM, WINS, Workstation Service Buffer Overrun in Buffer Overrun na SQL Server 2000 Resolution Service, poskuša pa dostopiti tudi do računalnikov s strežniki SQL Server s praznimi gesli. Pri širjenju po skupnih mrežnih virih poskuša izkoristiti šibka gesla ali uporabniška imena (tipična gesla ali taka, ki jih je enostavno uganiti). Če je uspešen, naredi svoje kopije na skupnih virih.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Jamada skupina d.o.o.

Cesta k Tamu 12, 2000 Maribor, Tel: 02 330 53 50
Podjetje je bilo ustanovljeno iz bivše DataLab poslovne enote Maribor. Preživeli so obdobje mladostniške zaletavosti in vihravosti. Prerasli so v zrelo podjetje z jasno vizijo, ... Več

ETRUST d.o.o.

Arja vas 101, 3301 Petrovče, Tel: 03 710 37 80
Etrust d.o.o. razvija MES sisteme, namenjene planiranju in optimizaciji proizvodnje, ki so povezljive tudi z ERP sistemi, kot je npr. SAP. Več

PRANA 3STIL d.o.o.

Opekarniška cesta 15a, 3000 Celje, Tel: 051 807 390
Podjetje Prana 3stil je specializirano za računalniške stortve, kot so razvoj Windows/Linux programske opreme, prodaja, servis in podobno. Več

Makro Team d.o.o.

Ilaunigova ulica 5, 2230 Lenart v Slovenskih goricah, Tel: 040 410 451, 02 729 25 40
Ste mislili, da je IT podporna služba primerna le za večja podjetja? Zagotavljanje strokovne informacijske podpore bodisi na daljavo ali na fizični lokaciji ima številne prednosti, ... Več