Programska oprema
03.01.2006 08:13
Posodobljeno 19 let nazaj.

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali tri trojance Nabload.U, Banker.BSX in AKStealer.A ter načrt izkoriščanja ranljivosti Metafile.

Nabload.U in Banker.BSX sta v preteklem tednu povzročila več tisoč incidentov na računalnikih po svetu in sta postala najpogostejša škodljiva programa, ki ju je odkril brezplačni spletni pregledovalnik Panda ActiveScan.

Nabload.U in Banker.BSX sta tesno povezana trojanca, ki se združujeta v napadih na računalnike. Napad se začne, ko prispe sporočilo prek MSN Messengerja, ki je videti, kot da prispe od enega od stikov, shranjenih v aplikaciji. V sporočilu je vabilo uporabniku, da obišče določeno spletno stran. Ko uporabnik obišče to spletno stran, se naloži Nabload.U na sistem skupaj z Bankerjem.BSX, ki izvede več akcij, med drugim:
– Pošilja sporočila MSN Messenger s povezavo, s katere se naloži Nabload.U.
– Odpre vrata 1106 in postane rezidenčen v pomnilniku.
– Preveri, če uporabnik dostopa do določenih spletnih strani, povezanih s spletnimi bančnimi institucijami iz španskega govornega območja. Če uporabnik dostop do katere od teh, se presežejo vnesene informacije (kot so gesla) in se pošljejo na določen e-naslov.

Tretji trojanec v današnjem poročilu je AKStealer.A, ki se ne more širit sam, ampak ga je potrebno prenašati ročno (po e-pošti, prek nalaganja z interneta, prek FTP in drugimi sredstvi). Ko se namesti na računalnike, izvede več akcij, med drugim:
– Pridobi uporabniška imena in gesla za naslednje storitve: Internet Explorer namestniške (proxy) strežnike, Outlook, račune Google (Gmail, Orkut), ebay, Monster.com, Paypal, e-gold, Careerbuilder.com, GMX.net in Passport. Informacije shrani v registrski mapi Windows Registry in jih pošlje na spletno mesto prek skripte PHP.
– Namesti namestniški strežnik na računalniku in zabeleži naslov IP, da se lahko do strežnika dostopi in se ga uporabi kasneje.
– Ustvari več vnosov v Windows Registry in preko tega postane privzeti razhroščevalnik za druge običajne aplikacije, kot so Internet Explorer, Windows Explorer in predvajalnik Windows, itd. Na ta način se AKStealer.A aktivira avtomatično vsakih, ko se zaženejo ti programi.

Današnje poročilo bomo zaključili z Metafile, načrtom izkoriščanja za ranljivost v knjižnici GDI32.DLL, ki jo uporabljajo programi, kot sta Windows Picture in Fax viewer, in po poročanju Microsofta prizadeneta platforme Windows: 98, Millennium Edition (ME), 2000, XP in Server 2003.

Ta ranljivost se lahko izkoristi z ustvarjanjem datoteke WMF (Windows MetaFile) in njenim prenašanjem z različnimi sredstvi, kot so gostovanje na spletnem mestu ali prepričevanje uporabnikov, da dostopijo do spletne strani. Če uporabnik uporablja Internet Explorer, lahko ob obisku zlonamerne spletne strani omogoči zagon kode. Če uporabnik uporablja drug brskalnik, pa se uporabnika lahko opozori na nalaganje datoteke.

Dokler Microsoft ne objavi popravka za ta problem, uporabnikom priporočamo, da ne uporabljajo programov Windows Picture in Fax Viewer za odpiranje potencialno nevarnih datotek WMA.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

MICROSOFT d.o.o.

Ameriška ulica 8, 1000 Ljubljana, Tel: 01 584 61 11
Slovenska podružnica Microsofta je bila ustanovljena leta 1994 z željo, da bi tudi slovenskemu trgu ponudili inovativno programsko opremo. Od začetkov, ko so bili v podjetju zaposleni ... Več
Zlati partner

INSIS d.o.o.

Erjavčeva ulica 18, 5000 Nova Gorica, Tel: 041 938 792
Podjetje Insis, d. o. o., se s spletno prodajo ukvarja že od leta 2009. Ekipa spletne trgovine PoceniPC.com vestno skrbi za svoje kupce. Najbolj so veseli vašega zadovoljstva, zato ... Več
Zlati partner

RITTAL d.o.o.

Letališka cesta 16, 1000 Ljubljana, Tel: 01 546 63 70
Rittal spodbuja inovacije in živi svoje vrednote To je Rittal. Globalni igralec, vodilni inovator, družinsko podjetje in zgleden delodajalec. Rittal zgodba Prihodnost Rittala se je ... Več
Zlati partner

Brown Bear Team (BBT)

Gmajna 16, 1236 Trzin, Tel: 01 5622665
POSLOVNA linija – najboljši računalniki posameznega proizvajalca Računalniki iz POSLOVNE linije so tisti, na katere se lahko zanesemo, saj gre za izdelke najvišje kakovosti ... Več