Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali črva Mytob.LX, trojanca Ryknos.G in Downloader.GPH.

Mytob.LX je masovni poštni črv, ki se širi po e-pošti v sporočilu, ki uporabnike obvešča, da morajo za nadaljnjo uporabo storitve določenega varnostnega podjetja obiskati spletno stran (da bi potrdili svoj e-naslov). Vendar pa se ob obisku spletne strani na računalnik naloži datoteka Confirmation_Sheet.pif, kopija črva Mytob.LX.

Po namestitvi na računalnik črv poišče e-naslove (v začasnih internetnih datotekah, imeniku in datotekah z določenimi kočnicami), ki vsebujejo določene nize znakov. Potem se pošlje na te naslove z uporabo lastnih SMTP procedur. Za stik z oddaljenimi SMTP strežniki Mytob.LX doda eno od naslednjih predpon domeni e-pošte: gate, mail1, mail, mx, mx1, mxs, ns, relay in smtp.

Mytob.LX odpre stranska vrata za povezavo do strežnika IRC, da bi sprejel ukaze na daljavo. Zaključi tudi različne procese, če so aktivni. Nekateri od teh procesov pripadajo protivirusnim rešitvam. Spremeni tudi datoteko host, da bi uporabniku preprečil dostop do spletnih mest varnostnih podjetij.

Ryknos.G se ne more širiti z lastnimi sredstvi, ampak se širi ročno (prek e-pošte, prek nalaganja z interneta, FTP ali drugimi sredstvi). Da bi se izognil odkritju in analizi, se ne zaganja na računalnikih z imeni “sandbox” in uporabniškim imenom “CurrentUser” (saj se ti podatki običajno uporabljajo na računalnikih za prestrezanje in analizo škodljivega programja)..

Ryknos.G izvaja več akcij, med drugim:
– Zaključi procese različnih požarnih pregrad in protivirusnim programov ter tako pusti računalnik nezaščiten.
– Poveže se na kanal #ran2 IRC-a, da bi prejel kontrolne ukaze na daljavo.
– Ustvari več zapisov v registru Windows Registry.

Današnje poročilo bomo zaključili s trojancem Downloader.GPH, ki ob zagonu prikaže sporočilo o napaki. Naloži datoteko na računalnike, ki nalagajo in zaganjajo več datotek, ki ustrezajo črvu in trojancu.