Tedensko poročilo o virusih in vdorih

“Medvedek” ima te dni polne roke dela.

V poročilu o virusih in vdorih preteklega tedna bomo pogledali način izkoriščanja ranljivosti BodyonLoad, trojanca AVKiller.V in črva Samony.B.

BodyOnLoad je program, narejen za izkoriščanje ranljivosti za izvršitev kode Javascript na daljavo v brskalniku Internet Explorer. Njegov cilj je naložiti katerikoli tip datoteke, ki jih gostijo določena spletna mesta z vsebino za odrasle. Proces okužbe se začne, ko uporabniki obiščejo eno takih strani, ki jih preusmeri na drugo stran, ki vsebuje BodyOnLoad.

BodyOnLoad se je že uporabil za nalaganje in zaganjanje kopij trojancev, ki jih je Panda Software imenovala Downloader.DLE. Z izkoriščanjem tega varnostnega problema BodyOnLoad naloži KVG.exe, datoteko, ki pripada trojancem, ki nalagajo in zaganjajo dve drugi datoteki – all.exe in XPsys.exe-. To sta sestavini trojanca Downloader.DLE in sta narejeni za zmanjšanje varnostne ravni brskalnika; delujeta kot vstopna točka za druge škodljive programe in naložita več datotek, ki pripadajo programu PicsPlace, ki ponavljajoče odpira spletne strani z vsebino za odrasle.

AVKiller.V se tako kot drugi trojanci ne more širiti sam, ampak ga je potrebno ročno prenašati (po e-pošti, z nalaganjem prek interneta, prenosom prek FTP…), Njegove akcije vključujejo:
– Poskuša naložiti SERVER.EXE s spletne strani. Da datoteka je pravzaprav trojanec, ki ga jePanda Software imenovala Banker.BHD.
– Brisanje vnosov v registrski mapi Windows, ki ustrezajo varnostnim programom, da bi preprečil njihov zagon ob zagonu sistema Windows. Ustvari pa zapise, ki zagotovijo njegov zagon ob zagonu sistema.
– Brisanje vseh datotek v podmapi MICROSOFT ANTISPYWARE v mapi “Program files”.
– Ustvari dve datoteki: STRT.EXE, kopijo sebe in VM2.DLL, sestavino AVKiller.V ki ga namesti na računalniku in ga zažene ob vsakem zagonu brskalnika Internet Explorer.

Samony.B je črva z značilnostmi stranskih vrat, ki se širi preko e-pošte v sporočilu z zadevo: “Account # 394875948JNO Wed, 28” in vključuje datoteko “MAIN_23_C.EXE”.

Po namestitvi Samony.B izvede več akcij. Med drugim:
– Posluša na vratih 321, da bi sprejel ukaze na daljavo (za nalaganje, zaganjanje, kopiranje ali brisanje datotek, prikaz seznama direktorijev, ipd.), ki omogočajo administracijo okuženega računalnika na daljavo.
– Pridobi gesla, shranjena na računalniku, npr. v Protected Storage, kjer so shranjena gesla za Outlook, Internet Explorer, ipd.
– Beleži udarce na tipkovnico.
– Naloži določeno spletno stran, na kateri je številka. Če je ta številka enaka ali večja od 0013, se bo Samony.B poskušal posodobiti z nalaganjem datoteke DOWNLOAD.EXE.
– Pošlje kopijo na vse naslove, ki jih najde v imeniku Windows Address Book in v datotekah s končnicami.