Tedensko poročilo o virusih in vdorih

Tema poročila o virusih in vdorih tega tedna sta dve različici črva Mydoom – AO in AM-, dve različici črva Gaobot – DAC in CYK ter Bropia.J.

Mydoom.AO se je pojavil sredi tedna in ima sposobnost hitrega in obsežnega širjenja. Razlog za to je, da uporablja iskalnike Google, Altavista, Yahoo in Lycos za iskanje e-naslovov, na katere se pošlje. Da bi pretental uporabnike, se pošilja v e-poštnem sporočilu, ki se kaže kot sporočilo o napaki pri dostavi e-pošte.

E-poštna sporočila, ki prenašajo Mydoom.AO, vključujejo priponko s kodo črva, ki ima eno od naslednjih končnic: ZIP, COM, SCR, EXE, PIF, BAT ali CMD. Če uporabnik zažene priponko, bo črv ustvaril več svojih kopij pod imenom JAVA.EXE na prizadetem računalniku in poiskal e-naslove v imeniku Windows, v začasnih internetnih datotekah in datotekah z določenimi končnicami. Potem izbere domenska imena naslovov, ki jih je zbral in jih vnese kot iskalno geslo v iskalnike Google, Altavista, Yahoo in Lycos. Potem se pošlje na najdene naslove. Črv ustvari tudi več zapisov v registrski mapi Windows Registry, da bi zagotovil svoj zagon ob vsakokratnem zagonu računalnika.

Mydoom.AM se širi v e-poštnih sporočilih z različnimi značilnostmi in preko programov za izmenjavo datotek KaZaA, Morpheus, eDonkey2000, iMesh in LimeWare.

Na okuženih računalnikih Mydoom.AM zaključi procese, ki pripadajo določenim varnostnim orodjem, kot so protivirusni programi in požarni zidovi, s čimer računalnik ostane ranljiv za napade drugih škodljivih programov. Ta črv spremeni tudi datoteko HOSTS, da prepreči dostop do spletnih mest določenih protivirusnih proizvajalcev in zaključi procese, ki pripadajo nekaterim drugim črvom, kot so Netsky, Bagle, Sobig in Blaster.

Gaobot.DAC in Gaobot.CYX sta dva črva, ki uporabljata več sredstev širjenja, med njimi so:

– Naredita svojo kopijo na skupnih omrežnih virih, do katerih uspeta dostopiti.

– Za širjenje po internetu izkoriščata varnostne pomanjkljivosti, kot sta LSASS in RPC DCOM, za katere je Microsoft že pred časom izdal popravke.

Različici DAC in CYX črva Gaobot imata značilnosti stranskih vrat, ki omogočajo hekerjem pridobiti nadzor nad računalnikom na daljavo in izvajata akcije, kot so izvrševanje ukazov, nalaganje in zaganjanje datotek, shranjevanje udarcev na tipkovnico, kraja informacij, izvajanje distribuiranih napadov, ki povzročajo zavrnitev storitev spletnih mest, ipd.

Črv Bropia.J se širi po programu MSN Messenger. Ko se zažene, poskuša prikazati stran HTML, ki vsebuje povezavo do določene spletne strani, da bi prikazal sliko. Bropia.J uporabniku prepreči tudi dostop do orodja Task Manager in Windows Registry Editor (datoteka REGEDIT.EXE).