Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali tri črve – P2load.A, Mytob.JN in Bagle.EI, vohunski program Spytrooper, tri trojance – Fantibag.A, Banker.APM in Mitglieder.EV – ter hekersko orodje Keyspy.B-.

P2load.A je črv, ki se širi prek programov za izmenjavo datotek v omrežjih P2P Shareaza in Imesh. Izvaja več akcij, vključno s spreminjanjem datoteke HOSTS, tako da uporabnike ob zahtevi za Googlovo spletno stran preusmeri na drugo stran, popolnoma enaki Googlovi, ki pa nima ničesar skupnega z Googlom in gosti na strežniku v Nemčiji. Lažna stran je videti povsem enako kot Googlova in celo podpira 17 jezikov kot Google.

Ko uporabniki poskušajo iskati na lažni Googlovi strani, se rezultati prikažejo pravilno ali z majhnimi spremembami v primerjavi z originalnimi Googlovimi rezultati. Kar je drugače, so sponzorirane povezave, običajno prikazane na vrhu seznama rezultatov. Z določenimi iskanji bodo uporabniki, ki so okuženi s P2load, videli druge povezave, ki jih je določil zlonamerni avtor, da poveča promet na te strani.

Drugi črv je Mytob.JN, ki se širi prek e-pošte v sporočilu z različnimi značilnostmi. Mytob.JN odpre vrata TCP, da se poveže na strežnik in prejme kontrolne ukaze na daljavo, ki naj se izvršijo na prizadetem računalniku. Zaključi tudi procese, ki pripadajo različnih varnostnim orodjem, kot so protivirusni programi in požarne pregrade ter procese, ki pripadajo drugim primerkom škodljivih programov. Prepreči tudi dostop do določenih spletnih strani, predvsem strani protivirusnih podjetij.

Bagle.EI pošilja kopijo različice Mitgliederja na e-naslove, ki jih zbere z določenih spletnih mest in ki ne vsebujejo določenih tekstovnih nizov. Prepreči tudi zaganjanje nekaterih različic Netskyja ob zagonu sistema Windows.

Spytrooper je vrsta oglaševalskega programa, ki se avtomatično naloži s spletnih mest za odrasle ali mest s piratskim programjem, ki za okužbo računalnikov uporabljajo načine za izkoriščanje ranljivosti. Pretoči se lahko tudi po pojavu oken pop-up, ki opozarjajo na vohunske programe v računalniku ali če jih uporabniki prostovoljno naložijo z določenih spletnih strani.

Spytrooper uporabnike opozarja, da so njihovi računalniki okuženi – kar pa ni res – hkrati z obvestilom, da nevarnosti lahko odstranijo, če kupijo polno različico programa. Ko uporabniki opravijo nakup in registrirajo Spytrooperja, sumljivih groženj ne odkriva več in je računalnik na videz čist.

Fantibag.A je trojanec, ki preprečuje dostop do več spletnih mest, predvsem mest protivirusnih podjetij. To naredi z metodo, ki temelji na API funkcijah RRAS (Routing and Remote Access Service), ki omogočajo sposobnost paketnega filtriranja.

Banker.APM je trojanec, katerega namen je ukrasti zaupne informacije, kot so gesla, ki jih potem pošlje avtorju. Poskuša preusmeriti spletna mesta več bank na strežnik, ki gosti lažne spletne strani, da bi uporabniki vnesli osebne podatke.

Mitglieder.EV je trojanec, ki napada določena varnostna orodja, kot so protivirusni programi in požarne pregrade. Briše bistvene datoteke in odstrani zapise v Windows Registry, ki omogočajo avtomatičen zagon aplikacij, blokira storitev in zaključi procese, povezane s programi, ki omogočajo posodabljanje protivirusnih programov.

Hekersko orodje Keyspy.B beleži udarce na tipkovnico in jih pošlje po e-pošti. Lahko tudi izvrši ali blokira izvajanje kateregakoli programa in nadzoruje obiskane spletne strani.

Za podrobnejše informacije o omenjenih in drugih virusih in grožnjah obiščite virusno enciklopedijo Pande Software na http://www.pandasoftware.com/virus_info/encyclopedia/.