Tedensko poročilo o virusih in vdorih

Črvov kot peska in trave…

V poročilu o virusih in vdorih preteklega tedna bomo pogledali dva trojanca – Spamnet.A in Galapoper.C, več ranljivosti (v brskalniku Internet Explorer in operacijskih sistemih Windows), dva črva – Gaobot.JKO in Gaobot.JKK – ter pet različic (A do E) črva Damon.

Spamnet.A je trojanec, ki se izvrši ob vstopu na določeno spletno stran. Ko je nameščen na računalniku, začne nalagati in zaganjati druge škodljive programe, ki jih uporabi za pridobitev e-naslovov iz okuženega računalnika, ki jih potem pošlje prek FTP. Okuženi računalnik se potem uporabi tudi za pošiljanje neželene e-pošte (spama).

Eden od drugih škodljivih programov, ki jih naloži Spamnet.A, je Galapoper.C. To je trojanec, ki se poveže na več spletnih strani (ki gostijo skripto PHP) za nalaganje datoteke, ki vsebuje ukaze za nadzor na daljavo (kot je npr. nalaganje in zaganjanje drugih datotek ali posodabljanje svoje kode). Galapoper.C pošilja tudi različna spam sporočila, ki vsebujejo informacije, pridobljene z več strežnikov.

Trije od varnostnih problemov, ki jih povzemamo v nadaljevanju, lahko omogočijo izvršitev poljubne kode na prizadetih sistemih in so bili označeni kot kritični.

– Kritične ranljivosti, ki prizadenejo različice 5.01, 5.5 in 6 brskalnika Internet Explorer na računalnikih s sistemi Windows 2003/XP/2000/Me/98, lahko napadalcu omogočijo prevzem nadzora nad računalnikom.

– Ranljivosti v “Plug and Play”, ki lahko omogoči izvršitev kode na daljavo in povečanje pravic. Prizadene računalnike z Windows 2000 SP4, Windows XP SP1 in SP2, Windows XP Professional x64 Edition, Windows Server 2003 in Windows Server 2003 SP1.

– Ranljivost v vmesniku Telephony Application Programming Interface (TAPI), ki lahko omogoči izvršitev kode na daljavo. Prizadene računalnike z Windows 2000 SP4, Windows XP SP1 in SP2, Windows XP Professional x64 Edition, Windows Server 2003 (SP1 in x64 Edition), Windows 98, Windows 98 Second Edition in Windows Me.

– Ranljivost v Remote Desktop Protocol, ki lahko omogoči zavrnitev storitev na računalnikih z Windows 2003/XP/2000.

– Ranljivosti v Kerberos, ki lahko omogoči zavrnitev storitev, razkritje informacij in “spoofing” na računalnikih z Windows 2003/XP/2000.

– Ranljivost v storitvi Print Spooler Service, ki lahko omogoči izvršitev kode na daljavo na računalnikih z Windows 2003/XP/2000.

Microsoft je o teh ranljivostih poročal v šestih varnostnih biltenih – MS05-038 do MS05-043 – v katerih so podrobnosti o njih in posodobitve, ki jih je priporočljivo namestiti.

Črva Gaobot.JKK in Gaobot.JKO imata skupne naslednje značilnosti:

– Uporabljata dva načina širjenja: naredita svoje kopije na skupnih mrežnih virih in pošiljata se prek interneta z izkoriščanjem več ranljivosti (LSASS, RPC DCOM, Workstation Service, WebDAV, itd.).

– Povežeta se na strežnike IRC, da prejmeta nadzorne ukaze na daljavo, ki jih potem izvršita na okuženem računalniku.

– Zaključita procese več varnostnih orodij, vključno s požarnimi pregradami in protivirusnimi rešitvami.

– Za širjenje na druge sisteme na okuženih računalnikih namestita lastne strežnike FTP in TFTP.

Današnje poročilo bomo zaključili z omembo različic A, B, C, D in E črva Damon. To so preizkusni črvi koncepta, ki okuži konzolo Microsoft Shell (MSH), znano tudi kot Monad.