Programska oprema
22.05.2006 07:48

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanca Clickbot.A in Kitty.Kat ter črv Hoots.A so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.


Ta teden bodite še posebej pozorni na trojanske konje!

Clickbot.A je trojanec, ki je del sistema za zlorabo sistemov ‘pay per click’. Beleži lažne klike na oglase, ki v resnici niso zadetki. V laboratorijih PandaLabs so razkrili mrežo več tisoč računalnikov, ki se uporabljajo za ta namen. Ne širijo se samodejno, ampak zahtevajo akcijo uporabnika za okužbo sistema. To so lahko odpiranje datotek, pripetih k e-pošti, nalaganje datotek z interneta ali prek omrežij za izmenjavo datotek P2P. Ko se zažene, se Clickbot.A registrira kot objekt BHO (Browser Helper Object), ki mu omogoča aktivacijo ob vsakem zagonu brskalnika Internet Explorer. Clickbot.A lahko posodobi svojo kodo, obvesti nadzornika mreže botov, da je računalnik okužen in dostopen ter se lahko uporabi zlonamerno za klikanje na zahtevo.

KittyKat.A je trojanec, ki se ne more širiti sam, ampak ga mora aktivirati uporabnik, npr. z odpiranjem e-poštnih priponk, nalaganjem datotek z interneta ali prek omrežij P2P. Vedno se pojavi zgoščen v datoteki RAR, ki vključuje tudi originalno zapakirane datoteke in vrsto datotek z naključnimi velikostmi in imeni, med drugim Start.bat. Če se ta zažene, se ustvari nova izvršljiva datoteka Nrk.exe, ki išče vse datoteke RAR in vanje vključi svojo kodo. Ko je proces dokončan, se na zaslonu prikaže naslednje sporočilo: “Eppur si muove! – Defend your opinion!”. Okužba nima drugih zlonamernih učinkov.

Hoots.A je črv, ki se širi po skupnih virih in mapiranih pogonih na lokalnem omrežju. Enostavno ga je prepoznati, saj na mrežne tiskalnike pošilja sliko snežne sove z besedilom “O RLY?” prek slike. Črv ustvari datoteko O RLY.exe v mapi Start, da bi se zagnal ob vsakem zagonu sistema Windows in datoteko Check.exe – obe sta kopiji njegove kode. Ko črv odkrije omrežje, začne izvajati različne akcije z namenom širjenja, kot so uporaba običajnih gesel za poskus dostopa do skupnih pogonov, ustvarjanje inventarja mapiranih datotek, da bi v vseh od teh ustvaril svoje kopije.


Prijavi napako v članku