Tedensko poročilo o virusih in vdorih

Trojanci Ldpinch.RE, Rizalof.DC in Lootseek.DD, črv Ircbot.ZN ter oglaševalski program PornMagPass so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

Ldpinch.RE je trojanec, ki krade gesla in druge zaupne informacije iz okuženega računalnika. Da to naredi, beleži udarce uporabnika na tipkovnico in nadzoruje obiskane spletna strani. Ne more se širiti avtomatično, ampak mora uporabnik izvesti določene akcije, kot so odpiranje e-poštnih priponk, nalaganje datotek z interneta ali preko omrežij P2P ali odpiranje datotek prek programov hitrega sporočanja. Zlonamerne akcije trojanca vključujejo krajo gesel za dostop do operacijskega sistema, preko datoteke Windows SAM (Security Access Manager). Poskuša tudi pridobiti gesla, shranjena v programih, kot Outlook ali The Bat ter več programov ICQ. Nadzoruje tudi obiskane spletne strani in če odkrije, da uporabnik dostopa do določenih bank, shrani vnesene podatke kot gesla. Vse zbrane informacije kasneje pošlje napadalcu po e-pošti. Pritaji se v sistemu, obvesti napadalca, da je napadeni računalnik okužen, lahko pa tudi naloži nekatere druge zlonamerne datoteke.

Rizalof.DC je trojanec, ki se ne more širiti sam, ampak ga na napadene sisteme spusti trojanec Lootseek.DD. Ko se zažene, spremeni napadeni računalnik v platformo za pošiljanje neželene e-pošte. Za ta namen se poveže na več spletnih strani, da naloži seznam imen in e-naslovov, ki jih bo uporabil kot pošiljatelje in prejemnike.

Lootseek.DD je trojanec stranska vrata, ki naloži in zažene trojanca Rizalof.DC. Za ta namen se poveže na strežnik IRC in čaka na ukaze oddaljenega napadalca, kot so nalaganje potencialno nevarnih datotek na napadeni sistem. Za okužbo računalnika potrebuje uporabnikovo akcijo, kot je odpiranje e-poštnih priponk ali nalaganje datotek z interneta ali omrežij P2P. Da bi preprečil svoje odkritje in odstranitev, Lootseek.DD zaključi procese, povezane s protivirusnimi programi in posodabljanjem sistema Windows. Ustvari še datoteke Smss.exe (kopijo trojanca) in Nvsvcd.Exe ter se registrira na sistemu kot storitev “Windows Log”.

Ircbot.ZN je črv s funkcionalnostmi stranskih vrat, ki se širi z uporabo določenih ranljivosti: LSASS, RPC DCOM in UPnP Windows. Na napadeni računalnik namesti tudi strežnik FTP za širitev na druge sisteme. Črv se lahko poveže na strežnik IRC, čaka na ukaze oddaljenega napadalca, kot je nalaganje datotek ali zaganjanje ukazov.

PornMagPass je oglaševalski program, ki se lahko naloži iz več spletnih strani in ponudi brezplačni dostop do pornografskih vsebin. Med namestitvijo bo potrebno sprejeti licenčni sporazum za končne uporabnike, ki programu omogoči ponuditi programčke plugin in druge sestavine. Kar pa program dejansko namesti na računalnik je vohunska koda skupaj s protivohunsko aplikacijo SpywareQuake. Potem uporabnika obvesti, da je njegov računalnik okužen in mu ponudi nakup aplikacije za rešite problema. Namesti tudi programček za Internet Explorer, ki brskalnik preusmeri na nepravo stran o napaki, ki poskuša uporabnika prepričati, da je oglaševalski program blokiral dostop do zahtevane spletne strani ter ponudi program za rešitev problema.