Tedensko poročilo o virusih in vdorih

Pazite se programov, ki beležijo vaše udarce na tipkovnici…

V poročilu o virusih in vdorih preteklega tedna bomo pogledali črva Mytob.DN in trojanca Gorgs.A in PGPCoder.A.

Mytob.DN je član znane družine Myto. Je črv z značilnostmi stranskih vrat, ki se poveže na strežnik z daljave in čaka na ukaze zlonamernih uporabnikov. Naloži tudi druge škodljive kode, med drugim, Faribot.A. Spremeni datoteko HOSTS na okuženem računalniku, da prepreči dostop do določenih spletnih strani, ki pripadajo protivirusnim podjetjem.

Črv se širi z izkoriščanjem ranljivosti LSASS, tako da napada naključno generirane naslove IP in prek aplikacije MSN Messenger, pri čemer izkorišča Faribot.A. Mytob.DN se lahko širi tudi prek e-pošte v sporočilu v angleščini, ki ga pošlje na naslove, ki jih pridobi na okuženem računalniku.

Gorgs.A je trojanec, ki krade zaporedje pritisnjenih tipk uporabnika na okuženem računalniku. Ko se namesti na sistemu, uporabi več načinov, da ga uporabniki ne bi opazili. Tako na računalnikih z operacijskimi sistemi Windows 2000/XP, vključi svojo kodo v sistemski proces EXPLORER.EXE, da skrije svojo prisotnost. Če ne more izvesti katere od teh akcij, se bo kljub temu zagnal, a bo viden uporabniku. Ko se zažene, zapisuje vse udarce na tipkovnico in jih shrani v datoteko. Ko doseže določeno velikost, jo pošlje po e-pošti na naslov z rusko domeno. Kot običajno pri trojancih se ne more širiti sam, ampak se mora distribuirati prek drugih kanalov.

PGPCoder.A je začel nov trend zlonamernih kod – tako imenovano programje za odkupnine “ransom-ware”, ker skuša pridobiti denar prek izsiljevanja. V tem primeru trojanec digitalno enkriptira datoteteke z določenimi končnicami: DOC (Word dokumenti), JPG (slike), XLS (Excel dokumenti), HTML (spletne strani), in najširše uporabljani foramti za stiskanje datotek, ZIP in RAR. Nato, PGPCoder.A ustvari TXT datoteko v vsakem direktoriju v katerem je enkriptirana datoteka. Ta datoteka vsebuje razlago trojančevega delovanja in zahteva od uporabikov 200 dolarjev, da bi se njihove datoteke sprostile, in nudi kontakt preko elektronske pošte. PGPCoder.A ustvari dva vnosa v Windows registre: enega za zagotovitev vsakokratnega zagona ob zagonu sistema, in drugega za nadzor delovanja trojanca na okuženi delovni postaji s preštevanjem števila datotek, katere so bile analizirane s strani škodljive kode.

Za preprečitev okužb s to ali ostalimi škodljivimi kodami, Panda Software svetuje vsem uporabnikom redno posodabljanje protivirusnih definicij. Panda Software je že pripravila in posredovala uporabnikom posodobitve za zaznavanje in odstranjevanje teh škodljivih kod.