Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali črva SdBot.EXG, trojanca Cimuz.X in dve hekerski orodji GuardMon ter SpyEx.

SdBot.EXG je črv, ki se širi z izkoriščanjem petih ranljivosti (v oklepaju so naveden številke Microsoftovih varnostnih biltenov s pojasnili): prekoračitev medpomnilnika v strežniku SQL Server 2000 (MS02-039); ranljivost v Workstation Service (MS03-049); LSASS (MS04-011); RPC-DCOM (MS04-012) in izvršitev kode na daljavo v Plug and Play -PnP- (MS05-039). Za razpošiljanje ima črv tudi lastne strežnike FTP in TFTP.

Sdbot.EXG se poveže na določene strežnike IRC, s katerih lahko prejme ukaze, kot so posodabljanje svoje kode, nalaganje in izvrševanje datotek, pregled seznama skupnih virov in dodajanje ali brisanje nekaterih, ipd.

Cimuz.X je trojanec, ki po namestitvi na računalnik izvaja več akcij, med katerimi so:

– Odpiranje naključnih vrat, kar omogoča, da se računalnik uporabi kot namestniški (proxy) strežnik HTTP.

– Izvajanje skript PHP z več spletnih naslovov, da obvesti avtorja, da je računalnik okužen.

– Da se izogne požarnim pregradam, vključi svoje procese v procese drugih programov, ki nimajo omejitev do interneta. Svoje povezane procese doda tudi na seznam pooblaščenih aplikacij v požarni pregradi Windows XP.

– V registrski mapi Windows registry ustvari več zapisov z različnimi nameni (da zagotovi zagon ob vsakokratnem zagonu sistema Windows, da pogleda, ali je bil računalnik predhodno okužen, ipd.).

Cimuz.X uporablja več knjižnic DLL in kode, druge od svoje. Njegov avtor je verjetno ponovno uporabil sestavine drugih trojancev.

Naslednji primer v današnjem poročilu je GuardMon, hekersko orodje, ki beleži udarce uporabnika na tipkovnico. Lahko se uporabi za lovljenje gesel ali druge vrste občutljivih informacij ter predstavlja resno nevarnost.

GuardMon na okuženem računalniku ustvari datoteko GPS.DLL, ki izvaža funkcijo WSPStartup. Ta funkcija nadzoruje proces nadzorovanja tipkanja.

SpyEx je hekersko orodje, ki nadzoruje udarce uporabnika na tipkovnico. To je aplikacija, ki se uporablja na računalnikih in pri internetni aktivnosti. Zbrane informacije se potem pošljejo v priponki po e-pošti na naslov, določen med namestitvijo.