Programska oprema
05.06.2006 06:57

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanca Briz.I in Mitglieder.IZ, črva Bagle.JG in BlackAngel.A ter vohunski program DigiKeyGen so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

Briz.I je trojanec, ki se uporablja v kriminalni prevari za krajo zaupnih podatkov, kot so bančni podatki ali gesla. Za širjenje potrebuje akcije uporabnika, kot so odpiranje e-poštnih priponk ali nalaganje datotek z interneta ali omrežij P2P. Našli so ga tudi na določenih spletnih straneh, predvsem z ilegalnimi ali pornografskimi vsebinami, ki so preusmerile uporabnike na drugo stran, s katere se je zlonamerna datoteka avtomatično pretočila z izkoriščanjem ranljivosti. Ko je na sistemu, se Briz.I preimenuje v “iexplore.exe” in se poskuša prebiti kot proces brskalnika Internet Explorer. Potem onemogoči varnostne storitve Windows (požarno pregrado) in spremeni datoteko “hosts”, da bi preprečil dostop do spletnih mest protivirusnih podjetij. Na koncu naloži drugo komponenti na prizadeti sistem in se izbriše. Ta komponenta napadalcu pošlje informacije o napadenem sistemu, vključno z naslovom IP in državo. Namesti tudi programček za lovljenje podatkov, ki jih vnaša uporabnik v obrazce v brskalnik Internet Explorer, kot so gesla in bančni podatki. Briz.I omogoči tudi, da se okuženi računalnik uporabi kot prehod za dostop do drugih spletnih mest, s čimer zamaskira napadalca, in zagotovi dostop do datotek na okuženem sistemu.

Mitglieder.IZ je trojanec, ki ga na sistemu pusti črv Bagle.JG in poskuša na okuženi sistem nalagati druge datoteke, verjetno posodobitve črva. Da to naredi, se poveže na več spletnih mest, da bi poiskal strežnike mreže eDonkey, in se prekopira na to omrežje. Poskuša tudi naložiti druge datoteke, ki se poskušajo prebiti kot datoteke JPG ali PHP, v resnici pa so posodobitve za črva Bagle.JG. Trojanec se prekošira na prizadeti sistem pod imenom Mdelk.exe in ustvari registrski zapis (Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionRun), ki kaže na “mdelk.exe”.

Bagle.JG je črv, ki na sisteme spušča trojanca Mitglieder.IZ. Poskuša tudi zmanjšati varnost okuženega računalnika tako, da zaključi storitve, povezane z varnostnimi orodji, vključno s protivirusnimi programi in požarnimi pregradami. Širi se preko programa eDonkey za omrežje P2P, tako da se skopira v datoteko za P2P in strežniška imena, ki jih pridobi Mitglieder.IZ, tako da uporabniki verjamejo, da so naložili uporabno datoteko. V Windows Registry doda zapis, da zagotovi svoj zagon ob vsakokratnem zagonu sistema in dodatnega v Hkey_Current_User SoftwareFirstrRun, da označi računalnik, da se ve, ali je okužen ali ne.

BlackAngel.A je črv, ki poskuša zaključiti procese, povezane z varnostnimi orodji, kot so protivirusni programi ali požarne pregrade. Prepreči tudi zaganjanje določenih orodij Windows, kot sta urejevalnik za Registry in Task Manager. Širi se preko MSN Messengerja, da se predstavlja kot datoteka Windows Media Player z dvojno končnico. Ta ob zagonu prikaže sporočilo o napaki in pošlje svojo kopijo na vse trenutno aktivne stike uporabnika. Najbolj uničujoča akcija črva je brisanje vrste zapisov v Windows Registry, ki preprečuje zagon operacijskega sistema.

DigiKeyGen je oglaševalski program, ki se gosti na več spletnih straneh, ki pritegnejo uporabnika s tem, da jim ponudijo prost dostop do pornografskih vsebin. Ko se zažene, na sistem spusti kodo SpywareQuake, skupaj z aplikacijo proti vohunskemu programju z enakim imenom. Ta aplikacija potem izsiljuje uporabnika tako, da ga obvesti, da je okužen in mu ponudi možnost čiščenja računalnika z nakupom licence te aplikacije. DigiKeyGen se lahko naloži iz več spletnih mest z odraslimi vsebinami. Ustvari tudi datoteko “eregperf.exe” v mapi Windows okuženega računalnika, skupaj z datoteko, ki šteje, kolikokrat je bil program zagnan. Doda tudi ključ v Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentversion PoliciesExplorer Run Registry ter tako še oteži ročno odstranjevanje.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Jamada skupina d.o.o.

Cesta k Tamu 12, 2000 Maribor, Tel: 02 330 53 50
Podjetje je bilo ustanovljeno iz bivše DataLab poslovne enote Maribor. Preživeli so obdobje mladostniške zaletavosti in vihravosti. Prerasli so v zrelo podjetje z jasno vizijo, ... Več
Zlati partner

SIDERA d.o.o.

Ulica Gradnikove brigade 11, 1000 Ljubljana, Tel: 031 777 790
O PODJETJU Sidera, ki v latinskem jeziku pomeni zvezda in je nastala v želji, da bi njena ustanoviteljica Urška Ambrož svoje dolgoletno delo v medijih združila s kreativno žilico, ... Več

Računalniške storitve mITch, Mitja Mihelič s.p.

Čolnarska ulica 3, 1310 Ribnica, Tel: 05 125 8575, 051 258 575
Ali vaše podjetje potrebuje oddelek za IT? Nekoč dostopne le za velike korporacije, danes so IT funkcije na voljo podjetjem vseh velikosti po zaslugi računalništva v oblaku in ... Več

MLACOM d.o.o.

Pot heroja Trtnika, 1261 Ljubljana - Dobrunje, Tel: 01 500 87 75
Tehnologija se nezadržno razvija naprej. Za vogalom je vedno novo odkritje, ki lahko spremeni tako zasebna kot poslovna okolja. Eden največjih izumov je zagotovo računalnik, ki ... Več