Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali trojanca Ryknos.A, tri ranljivosti v grafičnem prikazovalniku sistema Windows, črva Lupper.A in trojanca Zagaban.H.

Ryknos.A je trojanec, ki odpre vrata 8080 in se poveže na več naslovov IP, da prejme kontrolne ukaze na daljavo, kot je nalaganje ali zaganjanje datotek, ki naj jih izvede na prizadetem računalniku.

Ryknos.A se namesti v sistemski direktorij Windows pod imenom $SYS$DRV.EXE. Na ta način v sistemih z nameščenim programom Sony Digital Rights Management uporablja korenska orodja, vključeno v ta program, za skrivanje datotek, katerih imena se začnejo z “$SYS$” iz Windows Explorerja.

Trije varnostni problemi, ki jih bomo danes pogledali, so: Graphics Rendering Engine, Windows Metafile (WMF) in Enhanced Metafile (EMF). Oddaljenemu napadalcu lahko omogočijo prevzem nadzora nad prizadetim računalnikom z enakimi pravicami kot uporabnik, ki je začel sejo ali za napade za zavrnitev storitev.

Te ranljivosti, ki so označene kot kritične, so v procesiranju slikovnih formatov Windows metafile (WMF) in naprednih meta-datotek (enhanced metafiles – EMF). Prizadenejo lahko katerokoli aplikacijo, ki prikazuje slike WMF ali EMF v Windows 2000, Windows XP in Windows Server 2003.

Napadalec jih lahko izkoristi z uporabo posebej narejenih slik, ki se lahko pošljejo po e-pošti, gostijo na spletni strani, so vpete v Office dokument ali shranjene na skupnih mrežnih pogonih. Napadalec lahko izkoristi te ranljivosti, če uspe začeti lokalno sejo in zagnati program za ta namen.

Za preprečevanje teh problemov je Microsoft objavil posodobitve za Windows 2003, Windows XP in Windows 2000. Uporabnikom priporočamo ogled Microsoftovega biltena MS05-053 (http://www.microsoft.com/technet/security/bulletin/MS05-053.mspx), kjer so tudi naslovi, s katerih lahko naložijo posodobitve ali uporabijo storitev Windows Update.

Lupper.A je črv, ki prizadene sisteme Linux in izkorišča dva varnostna problema: AWStats Rawlog Plugin Input Vulnerability in XML-RPC za PHP Remote Code Execution Exploit. Lupper.A naloži svojo kopijo iz naslova IP, jo shrani (v /tmp/lupii) in zažene. Poleg tega črv odpre stranka vrata v vratih 7111, kar lahko omogoči nadzor prizadetega računalnika na daljavo.

Zagaban.H se tako kot ostali trojanci ne more širiti sam, ampak potrebuje ročne posege prek tretjih sredstev (po e-pošti, nalaganjem z interneta, prenosom prek FTP ipd.).

Zagaban.H izvaja več akcij, med drugim:
– Nadzorovanje spletnih naslovov (do katerih uporabnik dostopa prek Internet Explorerja), iskanje tekstovnih nizov, povezanih z bankami. Če zazna tak niz, zabeleži naslov in vnose na spletno stran, s čimer pridobi zaupne informacije (gesla, številke računov, številke PIN, ipd.). Ukradene podatke pošlje na spletni strežnik.
– V sistemskem direktoriju Windows ustvari dve datoteki: IPREG.EXE, ki je njegova kopija in SPDR.DLL, ki jo vključi v vse trenutne procese.