Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali trojanca Banker.AXW in Format.A ter črva Sober.Y.

Format.A je trojanec, ki se izdaja kot orodje za zaganjanje nepodpisane kode v igralni konzoli PSP (PlayStation Portable). Ob zagonu zbriše ključne datoteke za pravilno delovanje konzole, ki se posledično ne bo more več zagnati. Format.A se opiše kot aplikacija za spreminjanje (z izkoriščanjem ranljivosti) različice BIOS konzol PSP na starejše različice, da bi lahko zagnala piratske igre.

Banker.AXW je trojanec, ki nadzoruje okna z naslovnimi vrsticami, ki vsebujejo določene besedne nize, večinoma povezane z bankami. Potem beleži udarce na tipkovnico za vnose v ta okna, da bi ujel gesla in druge občutljive podatke. Uporablja več skript PHP za avtomatično pošiljanje zbranih informacij. Banker.AXW se ne more širiti avtomatično z lastnimi sredstvi. Potrebno je sodelovanje uporabnika, da bi dosegel računalnike. Sredstva širjenja lahko vključujejo diskete, zgoščenke, e-poštna sporočila s priponkami, lahko se širi prek nalaganja z interneta, ipd.

Sober.Y je nova različica iz družine Sober, ki se tako kot svoji predhodniki lahko širi prek e-pošte. Samo nekaj ur po pojavu so laboratoriji PandaLabs začeli odkrivati okužbe po vsem svetu. Da bi preprečili nadaljnje širjenje črva Sober.Y, še posebej na računalnikih brez ustrezne zaščite, je Panda Software pripravila brezplačno orodje PQRemove, namenjeno samo odkrivanju in odstranjevanju tega črva. Pretoči se lahko z naslova http://www.pandasoftware.com/download/utilities/

Sober.Y za širjenje uporablja dve vrsti e-poštnega sporočila. V prvem je Zadeva: (Subject) “Your new password”, v telesu sporočila pa je prošnja, da preverijo podatke v priponki pword_change.zip. S tem poskuša uporabnike prepričati, da bi verjeli, da je obvestilo o spremembi gesla. Drugo sporočilo je v nemščini in naj bi vsebovalo fotografijo starih šolskih prijateljev v datoteki KlassenFoto.zip. Obe zgoščeni datoteki vsebujejo izvršljivo datoteko PW_Klass.Pic.packed-bitmap.exe, ki je kopija črva.

Če se priponka zažene, se prikaže lažna napaka CRC, tudi če se je akcija že začela. Črv na okuženem računalniku zbere e-poštne naslove iz datotek z določenimi končnicami in se razpošlje na te naslove z lastnimi SMTP procedurami. Nemško različico uporablja, če se naslovi zaključujejo na .de (za Nemčijo), .ch (za Švico), .at (za Avstrijo), ali .li (za Lichtenstein).