Tedensko poročilo o virusih in vdorih

V poročilu o zlonamernih kodah preteklega tedna bomo pogledali razvpita črva Bagle, različici IB in HZ ter novo zlonamerno kodo, ki izkorišča ranljivost.

Bagle.IB vključuje funkcije rootkit. Te funkcije mu omogočajo skrivanje datotek, zapisov v registru Windows in procesov. Da bi ostal neopažen na prizadetem sistemu, poskuša onemogočiti nič manj kot 495 različnih procesov. Vsi so povezani z varnostnimi rešitvami, kot so protivirusni programi in požarne pregrade.

Drugi iz družine Bagle v današnjem poročilu, Bagle.HZ, uporablja skoraj enak sistem kot različica IB, za razliko do njega pa onemogoča 525 procesov.

Obe omenjeni različici Bagla uporabljata datoteko M_HOOK.SYS, ki je dejansko komponenta rootkit. Po zaslugi te komponente Baglovi procesi ostanejo skriti za izvedena iskanja.

Ta tehnika, ki jo uporabljajo programi rootkit, predstavlja resen problem, saj lahko skriti procesi izvajajo nevarne akcije, kot so lovljenje gesel ali kraja podatkov uporabnikov, ne da bi določena varnostna orodja lahko odkrila njihove simptome.

Na koncu današnjega poročila bomo pogledali še kodo, narejeno posebej za izkoriščanje ranljivosti “createTextRange()” v brskalniku Internet Explorer na operacijskih sistemih Windows 2003/XP/2000/Me/98.

Če Internet Explorer poskuša prikazati spletno stran brez nepričakovanega metodnega klica “createTextRange()” objektov HTML, lahko sistemski pomnilnik zaradi te ranljivosti nepravilno deluje in omogoči zagon poljubne kode na ranljivem računalniku.

Objekti TextRange predstavljajo besedilo v dokumentu HTML in se uporabljajo za popravljanje ter spreminjanje besedil, da bi našli specifične nize besedila in za zagon ukazov, ki vplivajo na prikaz besedila.

Za izkoriščanje ranljivosti hekerji gostijo zlonamerno kodo na spletni strani in potem poskušajo prepričati uporabnike, da jo obiščejo. Poleg tega se lahko izkoristi tudi prek pošiljanja sporočil s povezavami na zlonamerno spletno stran.

Panda Software je odkrila in imenovala kodo, povezano z izkoriščanjem te ranljivosti, kot CreatetxtRange ter opozarja uporabnike na njegovo prisotnost pri obiskovanju spletnih strani.