Tedensko poročilo o virusih in vdorih

V tedenskem poročilu o virusih in vdorih bomo pogledali štiri ranljivosti in črva Mydoom.AK. Najprej bomo pogledali glavne značilnosti štirih varnostnih problemov, za katere je Microsoft izdal popravke. Uporabnikom prizadetih sistemov svetujemo namestitev popravkov.

– Problem SMB – “Server Message Block”. Prizadene Windows 2000, Windows XP in Windows Server 2003 ter omogoča izvršitev kode. Načini izkoriščanja vključujejo ustvarjanje posebnih omrežnih paketov in njihovo pošiljanje na ranljive računalnike, ustvarjanje e-poštnega sporočila s povezavo do spletne strani in uporabo programa, ki posreduje parametre ranljivih sestavin SMB.

– Ranljivost “License Logging”. Ta ranljivost prizadene Windows NT Server 4.0 (SP6a in Terminal Server Edition SP6), Windows 2000 Server SP4 in SP3 ter Windows Server 2003. Lahko omogoči izvršitev kode na daljavo in se izkoristi preko posebej narejenih omrežnih paketov, poslanih na ranljiv računalnik.

Če heker uspešno izkoristi ta problem, lahko prevzame nadzor nad računalnikom z enakimi pravicami kot uporabnik, ki je začel sejo. Če ima uporabnik administratorske pravice, lahko heker prevzame nadzor nad celotnim sistemom (ustvarja, spreminja ali briše datoteke, namešča programe, ustvarja nove uporabniške račune, ipd.). Na računalnikih z Windows 2003 Server lahko omogoči zavrnitev storitev (napad DoS).

– Varnostni problem v obdelavi datotek PNG (Portable Network Graphic). Prizadene aplikacije kot Windows Media Player 9.0 (ko teče na Windows 2000, Windows XP Service Pack 1 in Windows Server 2003), Microsoft Windows Messenger različica 5.0, Microsoft MSN Messenger 6.1 in Microsoft MSN Messenger 6.2. Lahko ga izkoristijo virusi za hitro okužbo preko zlonamernih slik PNG, ki lahko povzročijo zlom računalnika, ko jih obdeluje eden od prizadetih proizvodov.

– Ranljivost v Microsoft Office XP. Prizadene Office XP, Word 2002, PowerPoint 2002, Project 2002, Visio 2002, Works 2002, Works 2003 in Works 2004. Lahko omogoči prekoračitev medpomnilnika, zaradi česar lahko heker, če jo izkoristi, pridobi nadzor nad računalnikom z enakimi pravicami kot uporabnik, ki je začel sejo.

Mydoom.AK je črv z različnimi značilnostmi, ki se širi po e-pošti. Zadeva sporočila včasih vključuje sporočila, ki se nanašajo na valentinovo, kot npr. “Happy Valentine’s day”. Mydoom.AK zaključi aktivne procese, ki pripadajo določenim protivirusnim proizvodom, požarnim zidovom in drugim varnostnim programom. Zato lahko ta črv pusti računalnik ranljiv za napde drugih zlonamernih programov. Mydoom.AK v datotekah na prizadetem računalniku išče e-naslove z naslednjimi končnicami: ADB, ASP, DBX, DOC, EML, FPT, HTM, HTML, INB, MBX, OFT, PAB, PHP, PL, PMR, SHT, TBB, TXT, UIN in XLS. Nanje se pošlje z uporabo lastnih SMTP procedur.