Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih preteklega tedna bomo pogledali tri grožnje: WMFMaker, Gaobot.LTL in Mytob.MF.

WMFMaker je program za ustvarjanje slik WMF (Windows MetaFile), ki izkoriščajo kritično ranljivost v Graphics Rendering Engine. Ta ranljivost je v načinu, kako Windows 2003/XP/2000/Me/98 ravna z datotekami WMF (Windows Meta File), zato so ogrožene vse aplikacije, ki delajo s tovrstnimi datotekami, med njimi tudi Internet Explorer in Microsoft Outlook. WMFMaker se lahko na ogroženih računalnikih uporablja za ustvarjanje slike, ki zaganjajo katerokoli vrsto zlonamerne kode – trojance, črve ali druge.

WMFMaker je narejen za uporabo iz ukazne vrstice, tako da vključi polno pot orodja in izvršljivo datoteko, ki se bo vključila v datoteko WMF ter se zagnala. S tem se ustvari datoteko s končnico .wmf in različnimi imeni, od “evil.wmf” do imena izvršljive datoteke, vključene vanjo.

Zlonamerne slike WMF, ki jih ustvari WMFMaker, se lahko prenašajo z različnimi sredstvi, kot so gostovanje na spletni strani, pri čemer predhodno uporabnike prepričajo, da jo obiščejo. ČE uporabnik uporablja Internet Explorer, se ob dostopu zlonamerne spletne strani, zlonamerna koda v WMF zažene avtomatično. Če pa se uporablja drug brskalnik, bo uporabnika pred nalaganjem datoteke opozoril.

Do objave popravka s strani Microsofta in do takrat, ko se uporabniki prepričajo, da imajo nameščene varnostne rešitve, ki lahko te načine izkoriščanja ranljivosti ustavijo, uporabnikom priporočamo nekaj osnovnih preventivnih varnostnih ukrepov:
o Preberite e-poštna sporočila v golem besedilu (Plain Text).
o Ne klikajte na povezave, ki jih prejmete prek e-pošte ali sistemov za hitro sporočanje od neznanih pošiljateljev.
o Če imate nameščene Windows XP, omogočite DEP (Data Execution Prevention).

Gaobot.LTL je črv, ki se širi na različne načine: e-pošti; internetu z izkoriščanjem ranljivosti LSASS, RPC DCOM, WebDAV in UPnP; po računalniških omrežjih; z izkoriščanjem programov za izmenjavo datotek v omrežjih peer-to-peer (P2P); po AOL Instant Messenger (AIM) in kanalih IRC.

Gaobot.LTL se poveže na več strežnikov IRC, da bi prejel kontrolne ukaze na daljavo (kot so kraja gesel, vzpostavitev napadov za zavrnitev storitev, pregledovanje naslovov IP, ipd.). Uporabnikom tudi preprečuje dostop do spletnih mest IT varnostnih podjetij, da se protivirusni programi ne bi mogli posodabljati in bi tako pustili računalnik ranljiv za druge škodljive programe.

Mytob.MF je masovni črv, ki računalnike doseže v sporočilu z različnimi značilnostmi in vsebuje priponko Abuse_Seport.zip. Ta črv za razširitev na čim več računalnikov uporablja tehnike socialnega inženiringa. Prenaša namreč sporočilu, ki naj bi prišlo iz oddelka za pritožbe in obtožuje prejemnika, da izvaja nelegalne aktivnosti na svojih računalnikih.

Ko se datoteka Abuse_Seport.zip razpakira in zažene, se namesti na računalniku in izvaja različne akcije, kot so iskanje e-poštnih naslovov v določenih datotekah. Na te potem pošlje svojo kopijo. Zaključi tudi procese v pomnilniku, ki pripadajo različnim varnostnim programom in uporabnikom prepreči, da bi dostopili do spletnih strani varnostnih podjetij.