Računalništvo, telefonija
23.05.2005 08:24

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih


Od teh črvov nas že pošteno boli glava.

V poročilu o virusih in vdorih preteklega tedna bomo pogledali črva Gaobot.GLV in Oscarbot.F ter trojanca Sober.W. slednji je trojanec, katerega namen je masovno pošiljanje sporočil v angleškem in nemškem jeziku z vsebino, povezano z gibanjem ekstremnih desničarjev v Nemčiji, ki namigujejo na drugo svetovno vojno in obletnico njenega konca. Kot je običajno za trojance, se Sober.W ne more širiti sam, ampak se širi po običajnih kanalih, pri čemer ga je potrebno ročno zagnati. Ko se zažene, začne zbirati e-naslove iz datotek s končnicami, ki ustrezajo seznamu v kodi trojanca. Ko pridobi naslove, začne nanje pošiljati e-pošto z naključno izbranim sporočilom od 30 sporočil, ki jih ima v kodi, pri čemer uporabi lažno ime pošiljatelja. V registru naredi več zapisov, da zagotovi svojo izvršitev ob vsakokratnem zagonu računalnika. Programiran je bil, da neha pošiljati neželeno e-pošto (spam) 23. maja, potem pa začne nalagati datoteke z več spletnih naslovov v kodi trojanca.

Oscarbot.F je črv z značilnostmi stranskih vrat, ki se širi prek AOL Instant Messenger (AIM), priljubljenega programa za internetne pogovore, tako da pošilja sporočila na vse naslove v imeniku prizadetega uporabnika. Sporočila vsebujejo spletni naslov URL, s katerega na prizadeti računalnik naloži črva Oscarbot.F ali druge zlonamerne programe. Ko je nameščen, se poveže na strežnik IRC in čaka na ukaze oddaljenega uporabnika, da naloži ali zažene programe, se širi preko AIM, ipd. Uredi tudi določene registrske zapise, da zagotovi svoj zagon ob vsakokratnem zagonu sistema.

Glavni namen črva Gaobot.GLV je zaključiti procese, ki pripadajo več varnostnim orodjem, kot so protivirusni programi in požarni zidovi, preprečiti uporabnikom dostop do več spletnih strani, predvsem tistih, ki pripadajo protivirusnim podjetjem in drugim podjetjem za IT varnost (to naredi tako, da spremeni datoteko HOSTS) in namestiti strežnik TFTP. Vsebuje tudi orodje, narejeno za skrivanje njegovih akcij, ki pa ne deluje pravilno na sistemih Window XP.

Gaobot.GLV se širi po internetu in po skupnih virih omrežja. Po prvem načinu poskusi izkoristiti ranljivosti LSASS, RPC DCOM, WINS, Workstation Service Buffer Overrun in Buffer Overrun na SQL Server 2000 Resolution Service, poskuša pa dostopiti tudi do računalnikov s strežniki SQL Server s praznimi gesli. Pri širjenju po skupnih mrežnih virih poskuša izkoristiti šibka gesla ali uporabniška imena (tipična gesla ali taka, ki jih je enostavno uganiti). Če je uspešen, naredi svoje kopije na skupnih virih.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

MOJA ZAPOSLITEV d.o.o., Optius.com

Borovec 2, 1236 Trzin, Tel: 01 810 02 00
Optius.com - Karierni portal za nove čase Karierni portal Optius.com je zaposlitveni portal, namenjen tistim, ki iščejo zaposlitev in tistim, ki iščejo nov kader. ... Več

DRUŠTVO DUH ČASA

Trubarjeva cesta 72, 1000 Ljubljana, Tel: 06 815 40 63
Računalniki za socialno ogrožene Smo skupina računalniških zanesenjakov, ki le stežka gleda kako cele gore še uporabnih računalnikov in računalniških delov končajo na odpadu. ... Več
Zlati partner

Kaspersky

, ,
Kaspersky je globalno priznano podjetje, specializirano za raziskovanje, razvoj in ponudbo visoko zmogljivih varnostnih rešitev za informacijsko varnost in zaščito pred spletnimi ... Več
Zlati partner

3WAY d.o.o.

Štalčeva ulica 5, 1215 Medvode, Tel: 01 361 70 14
Podjetje 3WAY se ukvarja s prodajo 3D printerjev, 3D skenerjev in programskih paketov CAD/CAM/PLM. Poleg tega nudijo tudi storitve na področju 3D tehnologij. So popolna rešitev, ... Več