Programska oprema
05.06.2006 06:57

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanca Briz.I in Mitglieder.IZ, črva Bagle.JG in BlackAngel.A ter vohunski program DigiKeyGen so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

Briz.I je trojanec, ki se uporablja v kriminalni prevari za krajo zaupnih podatkov, kot so bančni podatki ali gesla. Za širjenje potrebuje akcije uporabnika, kot so odpiranje e-poštnih priponk ali nalaganje datotek z interneta ali omrežij P2P. Našli so ga tudi na določenih spletnih straneh, predvsem z ilegalnimi ali pornografskimi vsebinami, ki so preusmerile uporabnike na drugo stran, s katere se je zlonamerna datoteka avtomatično pretočila z izkoriščanjem ranljivosti. Ko je na sistemu, se Briz.I preimenuje v “iexplore.exe” in se poskuša prebiti kot proces brskalnika Internet Explorer. Potem onemogoči varnostne storitve Windows (požarno pregrado) in spremeni datoteko “hosts”, da bi preprečil dostop do spletnih mest protivirusnih podjetij. Na koncu naloži drugo komponenti na prizadeti sistem in se izbriše. Ta komponenta napadalcu pošlje informacije o napadenem sistemu, vključno z naslovom IP in državo. Namesti tudi programček za lovljenje podatkov, ki jih vnaša uporabnik v obrazce v brskalnik Internet Explorer, kot so gesla in bančni podatki. Briz.I omogoči tudi, da se okuženi računalnik uporabi kot prehod za dostop do drugih spletnih mest, s čimer zamaskira napadalca, in zagotovi dostop do datotek na okuženem sistemu.

Mitglieder.IZ je trojanec, ki ga na sistemu pusti črv Bagle.JG in poskuša na okuženi sistem nalagati druge datoteke, verjetno posodobitve črva. Da to naredi, se poveže na več spletnih mest, da bi poiskal strežnike mreže eDonkey, in se prekopira na to omrežje. Poskuša tudi naložiti druge datoteke, ki se poskušajo prebiti kot datoteke JPG ali PHP, v resnici pa so posodobitve za črva Bagle.JG. Trojanec se prekošira na prizadeti sistem pod imenom Mdelk.exe in ustvari registrski zapis (Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionRun), ki kaže na “mdelk.exe”.

Bagle.JG je črv, ki na sisteme spušča trojanca Mitglieder.IZ. Poskuša tudi zmanjšati varnost okuženega računalnika tako, da zaključi storitve, povezane z varnostnimi orodji, vključno s protivirusnimi programi in požarnimi pregradami. Širi se preko programa eDonkey za omrežje P2P, tako da se skopira v datoteko za P2P in strežniška imena, ki jih pridobi Mitglieder.IZ, tako da uporabniki verjamejo, da so naložili uporabno datoteko. V Windows Registry doda zapis, da zagotovi svoj zagon ob vsakokratnem zagonu sistema in dodatnega v Hkey_Current_User SoftwareFirstrRun, da označi računalnik, da se ve, ali je okužen ali ne.

BlackAngel.A je črv, ki poskuša zaključiti procese, povezane z varnostnimi orodji, kot so protivirusni programi ali požarne pregrade. Prepreči tudi zaganjanje določenih orodij Windows, kot sta urejevalnik za Registry in Task Manager. Širi se preko MSN Messengerja, da se predstavlja kot datoteka Windows Media Player z dvojno končnico. Ta ob zagonu prikaže sporočilo o napaki in pošlje svojo kopijo na vse trenutno aktivne stike uporabnika. Najbolj uničujoča akcija črva je brisanje vrste zapisov v Windows Registry, ki preprečuje zagon operacijskega sistema.

DigiKeyGen je oglaševalski program, ki se gosti na več spletnih straneh, ki pritegnejo uporabnika s tem, da jim ponudijo prost dostop do pornografskih vsebin. Ko se zažene, na sistem spusti kodo SpywareQuake, skupaj z aplikacijo proti vohunskemu programju z enakim imenom. Ta aplikacija potem izsiljuje uporabnika tako, da ga obvesti, da je okužen in mu ponudi možnost čiščenja računalnika z nakupom licence te aplikacije. DigiKeyGen se lahko naloži iz več spletnih mest z odraslimi vsebinami. Ustvari tudi datoteko “eregperf.exe” v mapi Windows okuženega računalnika, skupaj z datoteko, ki šteje, kolikokrat je bil program zagnan. Doda tudi ključ v Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentversion PoliciesExplorer Run Registry ter tako še oteži ročno odstranjevanje.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

NIKON GmbH – Podporna pisarna Slovenija

Leskoškova 9e, 1000 Ljubljana, Tel: 01 280 08 12
Nikon je vodilno podjetje s področij fotografije, digitalnega zajema ter natančne optike. Njegove izdelke odlikujejo vrhunska kakovost izdelave, napreden dizajn ter odlične zmogljivosti, ... Več
Zlati partner

Endava PLC

Vilharjeva cesta 46, 1000 Ljubljana,
Endava spreminja odnos med ljudmi in tehnologijo. Pri izkoriščanju prednosti novih poslovnih modelov in priložnosti na trgu pomagamo nekaterim vodilnim svetovnim podjetjem iz ... Več

Minevra, Matjaž Kramar s.p.

Krallova 31, 8000 Novo mesto, Tel: 041-649-387
Kaj lahko za vas naredi podjetje Minevra? Živimo v digitalni dobi, kjer prevladuje računalniška in tiskalna oprema. Iskanje sebi primerno opremo je izziv in za mnoge zamudno opravilo. ... Več

M-SISTEM d.o.o.

Pot na Drenikov vrh 12, 1000 Ljubljana, Tel: 041 693 934
Nov IT sistem, bodisi strojni ali programski, je lahko velika naložba. Da bi jo karseda najbolje izkoristili, je pomembno, da izberete pravega IT dobavitelja in ponudnika programskih ... Več