Tedensko poročilo o virusih in vdorih

V poročilu tega tedna bomo posvetili pozornost Microsoftovim posodobitvam, črvoma W32/Bagle.GZ.worm ter OSX/Oomp.A, ki prizadene operacijski sistem Mac OS X in trojancu Banbra.BTM.

14. februarja je Microsoft objavil več posodobitev za Windows in Office, med katerimi sta dve označeni kot kritični. Prva posodobitev MS06-004 se nanaša na popravek kritične ranljivosti v Graphics Rendering Engine (na splošno se izkorišča za uporabo WMF) na računalnikih z operacijskimi sistemi Windows 2003/XP/2000/Me/98. Ta pomanjkljivost omogoča izvršitev poljubne kode na daljavo na prizadetih sistemih.

Druga kritična posodobitev, MS06-005, odpravlja probleme v predvajalniku Windows Media Player na računalnikih z Windows 2003/XP/2000/Me/98. Ta pomanjkljivost prav tako omogoča izvršitev kode na daljavo.

Uspešno izkoriščanje teh ranljivosti omogoča hekerjem pridobiti nadzor na daljavo nad prizadetim računalnikom z enakimi pravicami kot prijavljeni uporabnik. Če ima uporabnik administratorske pravice, bo imel heker popoln nadzor nad sistemom, kar postavlja računalnik v resno nevarnost.

Poleg omenjenih je Microsoft objavil še štiri druge posodobitve, ki niso označene kot kritične.

Bagle.GZ je črv, ki na prizadetem računalniku pusti trojanca Downloader.HRV. Ta dostopa do več spletnih strani za prikaz oglasov.

Da bi se širil, Bagle.GZ pošlje e-poštno sporočilo, ki poskuša uporabnikov pozornost pridobiti s sklicevanjem na zimske olimpijske igre, ki potekajo v Torinu do 26. februarja. Ko uporabnik odpre priponko, prikaže sporočilo, ki napeljuje uporabnika na to, da se je pojavila napaka, medtem pa naredi več svojih kopij v sistemskih mapah.

Trojanec Banbra.BTM se uporablja za krajo gesel uporabnikom storitev Net Empresa brazilske banke Bradesco. Tako kot gesla krade tudi digitalne certifikate (datoteke s končnico CRT) in ključe (datoteke s končnico KEY), ki jih uporabniki uporabljajo za dostop do njihovih računov prek računalnikov.

Po zaslugi laboratorijev PandaLabs je bil ta črv deaktiviran kot tudi spletno mesto, ki ga je gostilo. ZA nalaganje te kode se je masovno pošiljalo e-sporočilo s trditvijo, da prihaja od zaposlenega v Brandesco Net Empresa in ki je uporabnike napeljevalo k temu, da naložijo zlonamerno kodo.

Črv OSX/Oomp.A je razvit za operacijske sisteme MacOS/X in zamenjuje druge programe s svojimi kopijami, ki med svojimi viri vsebujejo originalni program.

Ko se zažene, zamenjana datoteka zažene zlonamerno kodo in potem poskuša izvršiti originalni program. Vendar se zaradi napake v programiranju originalni program ne zažene pravilno. Črv se širi prek datoteke ‘latestpics.tgz’ v sistemih hitrega sporočanja.