Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali tri trojance Nabload.U, Banker.BSX in AKStealer.A ter načrt izkoriščanja ranljivosti Metafile.

Nabload.U in Banker.BSX sta v preteklem tednu povzročila več tisoč incidentov na računalnikih po svetu in sta postala najpogostejša škodljiva programa, ki ju je odkril brezplačni spletni pregledovalnik Panda ActiveScan.

Nabload.U in Banker.BSX sta tesno povezana trojanca, ki se združujeta v napadih na računalnike. Napad se začne, ko prispe sporočilo prek MSN Messengerja, ki je videti, kot da prispe od enega od stikov, shranjenih v aplikaciji. V sporočilu je vabilo uporabniku, da obišče določeno spletno stran. Ko uporabnik obišče to spletno stran, se naloži Nabload.U na sistem skupaj z Bankerjem.BSX, ki izvede več akcij, med drugim:
– Pošilja sporočila MSN Messenger s povezavo, s katere se naloži Nabload.U.
– Odpre vrata 1106 in postane rezidenčen v pomnilniku.
– Preveri, če uporabnik dostopa do določenih spletnih strani, povezanih s spletnimi bančnimi institucijami iz španskega govornega območja. Če uporabnik dostop do katere od teh, se presežejo vnesene informacije (kot so gesla) in se pošljejo na določen e-naslov.

Tretji trojanec v današnjem poročilu je AKStealer.A, ki se ne more širit sam, ampak ga je potrebno prenašati ročno (po e-pošti, prek nalaganja z interneta, prek FTP in drugimi sredstvi). Ko se namesti na računalnike, izvede več akcij, med drugim:
– Pridobi uporabniška imena in gesla za naslednje storitve: Internet Explorer namestniške (proxy) strežnike, Outlook, račune Google (Gmail, Orkut), ebay, Monster.com, Paypal, e-gold, Careerbuilder.com, GMX.net in Passport. Informacije shrani v registrski mapi Windows Registry in jih pošlje na spletno mesto prek skripte PHP.
– Namesti namestniški strežnik na računalniku in zabeleži naslov IP, da se lahko do strežnika dostopi in se ga uporabi kasneje.
– Ustvari več vnosov v Windows Registry in preko tega postane privzeti razhroščevalnik za druge običajne aplikacije, kot so Internet Explorer, Windows Explorer in predvajalnik Windows, itd. Na ta način se AKStealer.A aktivira avtomatično vsakih, ko se zaženejo ti programi.

Današnje poročilo bomo zaključili z Metafile, načrtom izkoriščanja za ranljivost v knjižnici GDI32.DLL, ki jo uporabljajo programi, kot sta Windows Picture in Fax viewer, in po poročanju Microsofta prizadeneta platforme Windows: 98, Millennium Edition (ME), 2000, XP in Server 2003.

Ta ranljivost se lahko izkoristi z ustvarjanjem datoteke WMF (Windows MetaFile) in njenim prenašanjem z različnimi sredstvi, kot so gostovanje na spletnem mestu ali prepričevanje uporabnikov, da dostopijo do spletne strani. Če uporabnik uporablja Internet Explorer, lahko ob obisku zlonamerne spletne strani omogoči zagon kode. Če uporabnik uporablja drug brskalnik, pa se uporabnika lahko opozori na nalaganje datoteke.

Dokler Microsoft ne objavi popravka za ta problem, uporabnikom priporočamo, da ne uporabljajo programov Windows Picture in Fax Viewer za odpiranje potencialno nevarnih datotek WMA.