Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali štiri različice trojanca Mitglieder (FK, FL, FN in FM), ki se je prejšnji teden masovno razširil in prizadel številne računalnike ter črva Bagle.FN.

Po podatkih Pandinega brezplačnega protivirusnega pregledovalnika ActiveScan so bile štiri različice Mitgliederja tudi najpogosteje odkrita grožnja prejšnji teden. Prva od omenjenih različic – FK – se širi po e-pošti brez zadeve in s sporočilom, ki vključuje besedi kot “Texte” ali “Info”. Sporočilo vsebuje priponko .ZIP z različnimi imeni (Health_and_knowledge, Txt_sms, Max, Business, The_new_price, Info_prices or Business_dealing). Datoteka vključuje datoteko .EXE, ki ob zagonu namesti Mitglieder.FK na računalnik.

Različice FK, FL in FN Mitgliederja imajo skupne naslednje značilnosti:
– Ko je nameščen na računalniku in z uporabo skript PHP poskuša naložiti datoteko z različnih spletnih naslovov. Ko je naložena, jo shrani z imenom z uporabo naključnih številk v podmapi EXEFLD v direktoriju Windows in jo zažene.
– Ustvarijo datoteko HLOADER_EXE.EXE, kopijo samega trojanca, ki generira datoteko HLEADER_DLL.DLL ob naslednjem zagonu računalnika. Slednji se injecira v proces EXPLORER.EXE in je odgovoren za izvajanje akcij trojanca.

Akcije različice FM Migtliederja vključujejo:
– Preprečevanje dostopa do določenih spletnih strani, še posebej tistih, ki pripadajo protivirusnim podjetjem.
– Onemogočanje sistemskih storitev, povezanih z več protivirusnih in varnostnih produkti.
– Brisanje urejevalnih orodij registra Windows.

Bagle.FN je črv, ki pošilja kopije trojanca Mitglieder.FK na vse naslove, ki jih najde na prizadetem računalniku. Širi se v e-poštnem sporočilu, ki uporabnike poskuša pretentati, da bi verjeli, da je priponka računalniški program, slike, ipd. Širi se tudi prek interneta, napada naslove IP – pridobljene naključno ali iz omrežja okuženega računalnika -, izkorišča ranljivosti ali preko odprtih vrat. Črv poskuša naložiti več datotek z različnih spletnih mest, da bi jih zagnala na računalniku, in briše zapise v register Windows, povezane z drugimi primerki škodljivih programov.