Tedensko poročilo o virusih in vdorih

Programi beležijo vaše udarce na tipkovnico!

V poročilu o virusih in vdorih preteklega tedna bomo pogledali dva črva, Gaobot.IUF in Prex.AM, ranljivost v JAVAPRXY.DLL, programa Application/KeySpy in Application/GoldenKeyLog ter trojanca Banker.XP Trojan.

Prex.AM se širi po aplikaciji za neposredno sporočanje MSN Messenger. Gaobot.IUF se lahko širi po več kanalih, vključno s skupnimi mrežnimi viri, zaščitenimi s šibkimi gesli.

Pomembna značilnost črvov Gaobot.IUF in Prex.AM je, da se širita skupaj z uporabo ene same datoteke RAR. Če se datoteka zažene, se avtomatično odpakira in generira dve datoteki, ki vsebujeta črve. Črva potem izvedeta več akcij na prizadetem računalniku, vključno z:

– Gaobot.IUF ustvari stranska vrata in se poveže na strežnik IRC, kjer čaka na ukaze (da zbere informacije o sistemski strojni opremi, ukrade registracijske kode za določene igre, ipd.) oddaljenega napadalca.

– Prex.AM z uporabo aplikacije MSN Messenger pošlje sporočila z besedilom “hmm like my friend said dont look ahaha, SICK pictures” in povezavo do spletnega naslova. Če uporabnik klikne na povezavo, se na računalnik naloži datoteka, ki vsebuje obe zlonamerni kodi.

Varnostni problem, ki ga bomo danes pogledali in je o njem Microsoft poročal v varnostnem biltenu SecAdv903144 prizadene datoteko JAVAPRXY.DLL, sestavino brskalnika Internet Explorer na računalnikih z Windows 2003/XP/2000/Me/98. Prizadete so različice 5.01, 5.5 in 6.

Ta ranljivost, ki se lahko izkoristi z uporabo posebej narejene spletne strani, lahko napadalcu omogoči prevzeti nadzor nad prizadetim računalnikom z enakimi pravicami kot uporabnik, ki je začel sejo (ustvariti, urejati ali brisati datoteke, nameščati programe, ipd.). Zato se uporabnikom računalnikov, ki so lahko prizadeti, svetuje, da namestijo popravke, ki jih je izdal Microsoft. Do njega se lahko dostopi prek Microsoftovega varnostnega biltena (http://www.microsoft.com/technet/security/advisory/903144.mspx) (kliknite na “Workarounds” in potem na “Disable the Javaprxy.dll COM object from running in Internet Explorer”).

Application/KeySpy beleži udarce na tipkovnico od zagona operacijskega sistema Windows do zaključka seje, vključno z gesli do zaščitenih programov ali gesel, vnesenih na spletne strani. NA namizju prikaže tudi ikono, ki ob kliku nanjo prikaže okno z vsemi zabeleženimi podatki.

Application/GoldenKeyLog je program, ki nadzoruje aktivnost tipkovnice, ko se računalnik zažene. Prikaže tudi zaslon, ko se namesti na računalniku in spremeni registrsko mapo Windows registry, da ustvari vnos v “Settings-Add or remove programs”.

Banker.XP je trojanec, ki poskuša na prizadetem računalniku pridobiti zaupne informacije – kot so dostopna gesla za različne storitve. Ko jih pridobi, jih zbere v datoteko in pošlje hekerju.