Programska oprema
05.12.2005 09:07

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih


“Medvedek” ima te dni polne roke dela.

V poročilu o virusih in vdorih preteklega tedna bomo pogledali način izkoriščanja ranljivosti BodyonLoad, trojanca AVKiller.V in črva Samony.B.

BodyOnLoad je program, narejen za izkoriščanje ranljivosti za izvršitev kode Javascript na daljavo v brskalniku Internet Explorer. Njegov cilj je naložiti katerikoli tip datoteke, ki jih gostijo določena spletna mesta z vsebino za odrasle. Proces okužbe se začne, ko uporabniki obiščejo eno takih strani, ki jih preusmeri na drugo stran, ki vsebuje BodyOnLoad.

BodyOnLoad se je že uporabil za nalaganje in zaganjanje kopij trojancev, ki jih je Panda Software imenovala Downloader.DLE. Z izkoriščanjem tega varnostnega problema BodyOnLoad naloži KVG.exe, datoteko, ki pripada trojancem, ki nalagajo in zaganjajo dve drugi datoteki – all.exe in XPsys.exe-. To sta sestavini trojanca Downloader.DLE in sta narejeni za zmanjšanje varnostne ravni brskalnika; delujeta kot vstopna točka za druge škodljive programe in naložita več datotek, ki pripadajo programu PicsPlace, ki ponavljajoče odpira spletne strani z vsebino za odrasle.

AVKiller.V se tako kot drugi trojanci ne more širiti sam, ampak ga je potrebno ročno prenašati (po e-pošti, z nalaganjem prek interneta, prenosom prek FTP…), Njegove akcije vključujejo:
– Poskuša naložiti SERVER.EXE s spletne strani. Da datoteka je pravzaprav trojanec, ki ga jePanda Software imenovala Banker.BHD.
– Brisanje vnosov v registrski mapi Windows, ki ustrezajo varnostnim programom, da bi preprečil njihov zagon ob zagonu sistema Windows. Ustvari pa zapise, ki zagotovijo njegov zagon ob zagonu sistema.
– Brisanje vseh datotek v podmapi MICROSOFT ANTISPYWARE v mapi “Program files”.
– Ustvari dve datoteki: STRT.EXE, kopijo sebe in VM2.DLL, sestavino AVKiller.V ki ga namesti na računalniku in ga zažene ob vsakem zagonu brskalnika Internet Explorer.

Samony.B je črva z značilnostmi stranskih vrat, ki se širi preko e-pošte v sporočilu z zadevo: “Account # 394875948JNO Wed, 28” in vključuje datoteko “MAIN_23_C.EXE”.

Po namestitvi Samony.B izvede več akcij. Med drugim:
– Posluša na vratih 321, da bi sprejel ukaze na daljavo (za nalaganje, zaganjanje, kopiranje ali brisanje datotek, prikaz seznama direktorijev, ipd.), ki omogočajo administracijo okuženega računalnika na daljavo.
– Pridobi gesla, shranjena na računalniku, npr. v Protected Storage, kjer so shranjena gesla za Outlook, Internet Explorer, ipd.
– Beleži udarce na tipkovnico.
– Naloži določeno spletno stran, na kateri je številka. Če je ta številka enaka ali večja od 0013, se bo Samony.B poskušal posodobiti z nalaganjem datoteke DOWNLOAD.EXE.
– Pošlje kopijo na vse naslove, ki jih najde v imeniku Windows Address Book in v datotekah s končnicami.


Prijavi napako v članku

Partnerji Računalniških novic Prikaži vse

Zlati partner

SI SPLET d.o.o.

Ukmarjeva ulica 4, 1000 Ljubljana, Tel: 01 428 94 66
V podjetju SI SPLET d.o.o. se ukvarjajo s trženjem varnostnih in drugih rešitev na področju informacijskih tehnologij. V letu 2002 so pridobili ekskluzivno partnerstvo s podjetjem ... Več
Zlati partner

SOFTWAREONE d.o.o.

Šmartinska cesta 53, 1000 Ljubljana, Tel: 05 925 03 00
Ponujajo licenčno programsko opremo več kot 3000 različnih proizvajalcev, kot tudi svetovanje in profesionalne storitve. Skupina COMPAREX, katerega del je tudi COMPAREX d.o.o. ima ... Več
Zlati partner

DATALAB SI d.o.o.

Hajdrihova 28c, 1000 Ljubljana, Tel: 01 252 89 00
Datalab tehnologije Podjetje Datalab Tehnologije d.d. se ukvarja z razvojem poslovne programske opreme za vodenje podjetij. S poslovnim informacijskim sistemom PANTHEON povečate učinkovitost ... Več
Zlati partner

ZEBRA SYSTEMS s.r.o.

Opavská 6230/29a, Češka, , Tel: +420 596 912 961
Kibernetska varnost oziroma dober varnostni načrt je ključen za zaščito vseh kategorij podatkov pred krajo, izgubo ali okvaro. Sem spadajo občutljivi podatki, osebno prepoznavni ... Več