Tedensko poročilo o virusih in vdorih

Trojanca Briz.I in Mitglieder.IZ, črva Bagle.JG in BlackAngel.A ter vohunski program DigiKeyGen so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

Briz.I je trojanec, ki se uporablja v kriminalni prevari za krajo zaupnih podatkov, kot so bančni podatki ali gesla. Za širjenje potrebuje akcije uporabnika, kot so odpiranje e-poštnih priponk ali nalaganje datotek z interneta ali omrežij P2P. Našli so ga tudi na določenih spletnih straneh, predvsem z ilegalnimi ali pornografskimi vsebinami, ki so preusmerile uporabnike na drugo stran, s katere se je zlonamerna datoteka avtomatično pretočila z izkoriščanjem ranljivosti. Ko je na sistemu, se Briz.I preimenuje v “iexplore.exe” in se poskuša prebiti kot proces brskalnika Internet Explorer. Potem onemogoči varnostne storitve Windows (požarno pregrado) in spremeni datoteko “hosts”, da bi preprečil dostop do spletnih mest protivirusnih podjetij. Na koncu naloži drugo komponenti na prizadeti sistem in se izbriše. Ta komponenta napadalcu pošlje informacije o napadenem sistemu, vključno z naslovom IP in državo. Namesti tudi programček za lovljenje podatkov, ki jih vnaša uporabnik v obrazce v brskalnik Internet Explorer, kot so gesla in bančni podatki. Briz.I omogoči tudi, da se okuženi računalnik uporabi kot prehod za dostop do drugih spletnih mest, s čimer zamaskira napadalca, in zagotovi dostop do datotek na okuženem sistemu.

Mitglieder.IZ je trojanec, ki ga na sistemu pusti črv Bagle.JG in poskuša na okuženi sistem nalagati druge datoteke, verjetno posodobitve črva. Da to naredi, se poveže na več spletnih mest, da bi poiskal strežnike mreže eDonkey, in se prekopira na to omrežje. Poskuša tudi naložiti druge datoteke, ki se poskušajo prebiti kot datoteke JPG ali PHP, v resnici pa so posodobitve za črva Bagle.JG. Trojanec se prekošira na prizadeti sistem pod imenom Mdelk.exe in ustvari registrski zapis (Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionRun), ki kaže na “mdelk.exe”.

Bagle.JG je črv, ki na sisteme spušča trojanca Mitglieder.IZ. Poskuša tudi zmanjšati varnost okuženega računalnika tako, da zaključi storitve, povezane z varnostnimi orodji, vključno s protivirusnimi programi in požarnimi pregradami. Širi se preko programa eDonkey za omrežje P2P, tako da se skopira v datoteko za P2P in strežniška imena, ki jih pridobi Mitglieder.IZ, tako da uporabniki verjamejo, da so naložili uporabno datoteko. V Windows Registry doda zapis, da zagotovi svoj zagon ob vsakokratnem zagonu sistema in dodatnega v Hkey_Current_User SoftwareFirstrRun, da označi računalnik, da se ve, ali je okužen ali ne.

BlackAngel.A je črv, ki poskuša zaključiti procese, povezane z varnostnimi orodji, kot so protivirusni programi ali požarne pregrade. Prepreči tudi zaganjanje določenih orodij Windows, kot sta urejevalnik za Registry in Task Manager. Širi se preko MSN Messengerja, da se predstavlja kot datoteka Windows Media Player z dvojno končnico. Ta ob zagonu prikaže sporočilo o napaki in pošlje svojo kopijo na vse trenutno aktivne stike uporabnika. Najbolj uničujoča akcija črva je brisanje vrste zapisov v Windows Registry, ki preprečuje zagon operacijskega sistema.

DigiKeyGen je oglaševalski program, ki se gosti na več spletnih straneh, ki pritegnejo uporabnika s tem, da jim ponudijo prost dostop do pornografskih vsebin. Ko se zažene, na sistem spusti kodo SpywareQuake, skupaj z aplikacijo proti vohunskemu programju z enakim imenom. Ta aplikacija potem izsiljuje uporabnika tako, da ga obvesti, da je okužen in mu ponudi možnost čiščenja računalnika z nakupom licence te aplikacije. DigiKeyGen se lahko naloži iz več spletnih mest z odraslimi vsebinami. Ustvari tudi datoteko “eregperf.exe” v mapi Windows okuženega računalnika, skupaj z datoteko, ki šteje, kolikokrat je bil program zagnan. Doda tudi ključ v Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentversion PoliciesExplorer Run Registry ter tako še oteži ročno odstranjevanje.