Tedensko poročilo o virusih in vdorih

Poročilo o zlonamernih kodah preteklega tedna se osredotoča na štiri IT-nevarnosti: trojanca LootSeek.AU in Briz.F, črva CrazyFrog.A in virus Matlab/Lagob.

LootSeek.AU je trojanec, ki na prizadete računalnike naloži še enega trojanca – Rizalof.BL. Uporablja anonimni namestniški strežnik za masovno pošiljanje zlonamernih programov. Poleg tega zaključi več procesov, ki pripadajo varnostnim orodjem in posodobitvam Windows.

Tako kot drugi trojanci se ne more širit sam avtomatično, ampak jih mora razširiti napadalec.

Trojanec Briz.F Trojan je narejen za krajo podatkov, povezanih s storitvami spletnih bank. Za vabo uporablja pornografske spletne strani, da se namesti na računalnike žrtev, Pojav trojanca Briz.F je posledica mreže za ustvarjanje in prodajo prilagojenih različic Briza, ki so jo pred kratkim odkrili in razgradili v PandaLabs.

Spletne strani, ki gostijo Briz.F, so narejene za avtomatično pretakanje zlonamerne kode na računalnike obiskovalcev teh spletnih strani z izkoriščanjem več programskih ranljivosti. Se je pa možno s tem trojancem srečati tudi prek drugih sredstev, kot so e-pošta, omrežja za izmenjavo datotek P2P, ipd. Način dela trojanca Briz.F je kompleksen in dovršen. Napad se začne z namestitvijo datoteke iexplore.exe, ki pripravi teren tako, da pogleda, ali je povezava na internet vzpostavljena. V tem primeru se poveže na določeno spletno stran, da bi naložila drugo datoteko ieschedule.exe. Na koncu iexplore.exe onemogoči storitve Windows Security Centra in skupen dostop do interneta.

Potem ieschedule.exe pošlje informacijo o okuženem računalniku (ime, naslov IP, lokacijo, ipd.) na naslov, ki ga je določil napadalec. Istočasno naloži druge datoteke, vključno s smss.exe, ki spremeni datoteko hosts, da bi preprečil dostop do spletnih strani varnostnih podjetij, in datoteko ieredir.exe, ki preusmeri uporabnika na lažne spletne strani, ko poskušajo dostopiti do določenih spletnih storitev, večinoma bančnih. Zbere tudi informacije iz Windows Protected Storage in e-poštnih programov Outlook, Eudora in The Bat, ter jih prav tako pošlje napadalcu.

CrazyFrog.A je črv, ki se širi prek sistema hitrega sporočanja MSN in je narejen za krajo gesel za dostop do sistema MSN in podatkov za uporabo spletnih bančnih storitev prizadetega uporabnika. To naredi s spremljanjem mrežnega prometa in preverjanjem, ali uporabnik dostopa do spletnih strani z določenimi deli teksta – povezanimi s storitvami spletnega bančništva – v naslovih. Če uporabnik dostopi do enega takih, Crazyfrog.A namesti bančnega trojanca, ki ujame podatke za dostop do banke, ki jih vnese uporabnik.

Matlab/Lagob je virus, ki okuži datoteke s končnico M – ki pripada priljubljeni aplikaciji Matlab za reševanje matematičnih problemov. Ko se zažene, virus doda svojo kodo na začetek datotek.

Za podrobnejše informacije o omenjenih in drugih virusih in grožnjah obiščite virusno enciklopedijo Pande Software na http://www.pandasoftware.com/virus_info/encyclopedia/