Tedensko poročilo o virusih in vdorih

Poročilo o zlonamernih kodah preteklega tedna jasno odraža nove trende škodljivega programja. Dva od primerkov, ki jih bomo pogledali v današnjem poročilu, sta namenjena izključno zlorabam in kraji podatkov, druga dva pa imata funkcije programov rootkit.

Kot primer poslovnega modela, ki ga hekerji implementirajo in prakticirajo, bomo pogledali trojanca Nabload.CC. Ta trojanec, ki naloži drugega trojanca – Banker.CJA iz določene spletne strani, se je sposoben prebiti prek požarne pregrade Windows XP. Zato lahko dostopi so interneta brez omejevanja svojih akcij.

Trojanec Banker.CJA pridobi informacije za dostop do več spletnih bank. To naredi s preverjanjem, ali uporabnik obiskuje spletne strani določenih bank in če vnesejo svoje podajte, jim prepreči dostop do legitimne spletne strani. Namesto tega jim prikaže spletno stran, ki je imitacija originalne.

Če uporabnik ponovno vnese podatke na lažno spletno stran, prepričan, da je prišlo do napake, bo Banker.CJA zabeležil njegovo uporabniško ime in geslo. Tako zbrane informacije potem pošlje na določene spletne naslove in hekerjem omogoči dostop do spletnih bančnih računov.

Druga zlonamerna koda, ki cilja na finančne koristi, je Briz.C, trojanec, ki krade gesla. Ta trojanec ima več komponent, ki se nalagajo z interneta. Te komponente izvajajo več akcij, kot so ustavljanje in onemogočanje požarne pregrade Windows XP, preprečevanje dostop do določenih spletnih mest, povezanih s protivirusnimi podjetji, pridobivanje gesel za poštne račune, bančne in druge spletne storitve, ipd.

Briz.C se ne more širiti avtomatično z lastnimi sredstvi, ampak jih mora distribuirati napadalec. To je običajno pri ciljanih napadih, tehnikah, ki jih je Panda Software proučila in pojasnila v beli knjigi, ki se lahko brezplačno pretoči z naslova: www.pandasoftware.com/attacks.

O zlonamernih programih iz vrste rootkit laboratoriji PandaLabs poročajo o črvu Gurong.A, ki poskuša naložiti datoteke z več naslovov IP. Te datoteke so kopije črva, čeprav nimajo vse vseh njegovih funkcij.

Gurong.A ima nekaj tipičnih funkcij programov rootkit, ki mu omogočajo skrivanje procesov, datotek in zapisov v registru Windows Registry. Situacija je potencialno nevarna za okužene uporabnike, saj jo hekerji lahko izkoristijo za skrivanje procesov. Tehnologije TruPrevent™ v rešitvah Pande Software so sposobne odkrivati te zlonamerne kode, da bi se uporabile kot rootkit, ne da bi bila potrebna poseban orodja za zaščito pred njimi.

Zadnji primerek v današnjem poročilu je nova različica veterana Bagle, različica HX. Ta črv poskuša onemogočiti številne storitve, povezane s protivirusnimi in varnostnimi aplikacijami. Ko je nameščen, se poveže na več spletnih strani, da naloži datoteko.

Ena od datotek m_hook.sys se namesti kot storitev in deluje kot program rootkit, ki skriva datoteke in registrske zapise, ki jih ustvari Bagle.HX.