Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih v prejšnjem tednu so se v laboratorijih PandaLabs osredotočili na trojanca Burglar.A. in črva USBToy.A ter Naiba.A.

Trojanec Burglar.A je lahko uporabnikom precej škodljiv. Širi se po e-pošti v sporočilu, ki razglaša, da je avstralskega ministrskega predsednika zadel srčni napad ali druga bolezen. Nekateri od možnih naslovov so: “Prime Minister survived a heard attack” ali “The life of the Prime Minister is in grave danger”.

Burglar.A ima dve metodi okužbe. Eno je neželena e-pošta, ki uporabnikom ponuja povezavo, na katero naj kliknejo. Ko to naredijo, so preusmerjeni na spletno stran, kjer je trojanec. Po drugi metodi je trojanec skrit v pripeti izvršljivi datoteki. Ko se ta odpre, se Burglar.A namesti na računalnik.

Ko trojanec okuži sistem, svojim avtorjem pošlje informacije (naslov IP, država računalnika, zemljepisna dolžina in širina, ipd.). Trojanec za predstavitev te informacije uporablja aplikacijo Google Maps. Ko kibernetični prevarant odpre karto mesta z uporabo aplikacije, se prikaže lokacija okuženega računalnika.

Trojanec naloži različne primerke škodljivega programja. Ena od teh je trojanec Keylog.LN. Ta je narejen, da lovi udarce na tipkovnico in išče prijavne podatke uporabnikov. Burglar.A naloži tudi trojanca Banker.CLJ, ki ustavi nalaganje spletnih strani določenih bank in jih zamenja z lažnimi, ki sprašujejo po zaupnih bančnih podatkih uporabnika.

Seznam se tu ne konča. Burglar.A naloži tudi tretjega trojanca, FileStealer.A. Ta na okuženi računalnik namesti spletni strežnik. Kibernetični prevarant lahko nadzoruje okuženi računalnik na daljavo, tako da pridobi dostop do strežnik preko spletne strani.

Sters.P je zadnji trojanec, ki ga na sistem namesti Burglar.A. Namenjen je, da uporabnikom ali varnostnim programom prepreči dostop do posodabljanja določenih podjetij za zaščito pred škodljivim programjem.

“Ta napad pokriva različne fronte z enim samim ciljem: pridobiti denar. Da to naredi, poskuša pridobiti prijavne podatke uporabnika do storitev, kot so bančne. Uporabnikom tudi prepreči zaščito, tako da prepreči dostop do določenih spletnih strani varnostnih rešitev. Okuženi računalnik je nadzorovan, verjetno kot orodje za širjenje več primerkov škodljivega programja,” pojasnjuje tehnični direktor laboratorijev PandaLabs Luis Corrons.

Črv USBToy.A za širjenje in okužbo računalnikov uporablja naprave USB. Če je ena od naprav (pomnilniška kartica, predvajalnik MP3, ipd.) povezana na računalnik, okužen z USBToy.A, se črv prekopira v skrito datoteko. Kasneje, ko se naprava poveže na drug računalnik, se bo tudi ta okužil.

USBToy.A se zažene ob vsakokratnem zagonu računalnik in prikaže sporočilo s kitajskimi znaki na namizju Windows. Da zakrije svojo prisotnost in oteži odkritje, uporablja Windows aplikacijo “SetFileAttributesA”.

Črv Naiba.A se prav tako širi z uporabo naprav USB. Prekopira sebe in datoteko autorun.exe. na vseh računalnikovih mapiranih ali fizičnih pogonih. Na ta način se datoteka uspe zagnati vsakič, ko okuži pogon.

Naiba.A ustavi procese določenih varnostnih rešitev in spremeni registrske zapise v Windows. Ena od sprememb se uporablja za skrivanje. Druga preprečuje, da bi storitev Cryptsvc uporabnike opozorila na narejene spremembe.

Črv izvaja tudi več nadležnih akcij. Ne dovoli npr. odpiranja aplikacije notepad in preprečuje ogled skritih datotek v Windows Explorer.