Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali dva črva – Sober.AH in Mops.A, trojanca Trojan Mitglieder.GB ter potencialno nevarnega SpyMon.

V tem tednu smo bili priča milijonom e-poštnih sporočil, okuženih s črvom Sober.AH. Postal je najpogostejši virus na lestvici najbolj razširjenih po podatkih brezplačnega spletnega protivirusnega pregledovalnika Panda ActiveScan. Med razlogi za veliko razširjenost je uporaba tehnik socialnega inženiringa, s katerimi so avtorji pretentali uporabnike, da so zagnali okuženo datoteko. Vaba je bilo besedilo v vabilom k ogledu video posnetkov Paris Hilton in Nicole Richie ter opozorilo FBI in CIA o dostopu do nelegalnih spletnih mest.

Sober.AH se širi v sporočilih z različnimi značilnostmi in priponko ZIP. Ko jo uporabnik zažene, črv okuži računalnik in prikaže lažno obvestilo o napaki. Če je domena prejemnika de (Nemčija), ch (Švica), at (Avstrija) ali (Liechtenstein), je sporočilo v nemščini, drugače pa v angleščini.

Sober.AH zaključi več procesov, vključno tem, ki pripadajo določenim varnostnim orodjem in v tem primeru prikaže sporočilo “No viruses, Trojans or Spyware found! Status OK”. Ustvari tudi več datotek, med njimi SERVICES.EXE, CSRSS.EXE in SMSS.EXE, ki so kopije črva.

Mitglieder.GB je trojanec, ki se je začel hitro širiti in prehitel črva Sober.AH na lestvici najpogostejših virusov po podatkih Panda ActiveScan.

Mitglieder.GB nima svojih sredstev širjenja, zato se mora širit ročno. Primerki, prejeti do sedaj, so prišli po e-pošti z različnimi značilnostmi in priponko ZIP. Ko se zažene, trojanec odpre privzeti pregledovalnik slik v Windows in prikaže logotip Windows. Ko je nameščen na računalniku, Mitglieder.GB poskuša naložiti datoteko vsake štiri ure preko skript PHP in različnih spletnih strani.

Mops.A se širi prek Yahoo Messengerja in AOL Instant Messengerja, in sicer s pošiljanjem sebe v sporočilih s povezavo. Če uporabnik klikne na povezavo, se naloži datoteka RAR, ki se sama razpakira in vsebuje več datotek, ki pripadajo Mops.A, Sdbot.FAR in orodno vrstico za Internet Explorer.

SpyMon je potencialno neželeni program, ki lahko ponudi nadzor na daljavo nad računalnikom. Lahko dovoli več akcij na računalniku, kot so beleženje udarcev na tipkovnico, ogled ali zaganjanje procesov.