Programska oprema
13.03.2007 07:40

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih v prejšnjem tednu so se v laboratorijih PandaLabs osredotočili na trojanca ShotOne in Yabarasu, družino črvov Rinbot ter virus Expiro.A.

ShotOne na okuženem računalniku povzroča vrsto problemov. S spremembami v registru Windows lahko prepreči posodabljanje operacijskega sistema Windows in prepreči dostop do menija Datoteka (File) v brskalniku Internet Explorer ali raziskovalcu Windows Explorer. Lahko skrije tudi lastnosti v mapah Moji dokumenti (My documents) in Moj računalnik (My computer).

Drugi škodljivi učinki vključujejo onemogočanje menija z desnim klikom miške v opravilni vrstici in gumb Start, skrivanje ikon Notification Area ter preprečevanje dostopa do možnosti Run in Search v meniju Start.

Ta trojanec se zažene ob vsakokratnem zagonu sistema. Takrat prikaže več zaslonov, ki onemogočijo rabo računalnika. Računalnike, ki jih je okužil, tudi ugaša in ponovno zaganja vsake tri ure.

V laboratorijih PandaLabs so ustvarili video za prikaz nekaterih učinkov tega trojanca. Dostopen je na: http://www.pandasoftware.com/img/enc/ShotOne.wmv

Yabarasu se zažene ob vsakokratnem zagonu sistema in prikaže spodnje okno.

Prekopira se na okužene sisteme. Da bi pretental uporabnike, skrije vse končnice datotek in orodje za prikaz informacij ob prehodu kazalca miške nad datoteko v sistemu Windows. Skrije tudi mape v pogonu C: in jih zamenja s svojimi kopijami z enakim imenom in ikonami kot original. Ko uporabnik zažene eno od teh datotek, bo v resnici zagnal trojanca.

Both ShotOne in Yabarasu računalnike dosežeta preko e-pošte, nalaganja datotek, okuženih pomnilniških naprav, ipd.

V preteklem tednu so v laboratorijih PandaLabs odkrili več različic črvov družine Rinbot: Rinbot.B, Rinbot.F, Rinbot.G in Rinbot.H. Ti črvi se širijo tako, da se skopirajo na mapirane pogone ali skupne omrežne vire. Prekopirajo se tudi na naprave USB (predvajalnike MP3, spominske ključe,…), ki se povežejo na računalnik.

Nekatere različice za širjenje izkoriščajo tudi določene ranljivosti. Rinbot.B npr. izkorišča ranljivosti LSASS in RPC DCOM. Popravki za te varnostne pomanjkljivosti so dostopni že nekaj časa.

Rinbot.G izkorišča ranljivost v SQL Server, da se predstavlja kot uporabnik. Ko doseže računalnik, naloži svojo kopijo prek TFTP. Potem se zažene na sistemu.

Rinbot.H za širjenje prav tako izkorišča ranljivost. Išče strežnike z ranljivostjo MS01-032, ki jo je Microsoft odpravil v biltenu z enakim imenom.

Črvi Rinbot so narejeni, da odpirajo vrata na računalniku in se povežejo na strežnik IRC. To krekerju omogoči nadzor računalnika na daljavo.

Z interneta naložijo tudi trojanca Spammer.ZV, ki je narejen za pošiljanje neželene e-pošte na naslove, ki jih najde na okuženih računalnikih. Spremenijo tudi varnostne nastavitve in sistemska dovoljenja v brskalniku Internet Explorer in tako zmanjšajo varnostno raven računalnika.

Zanimiv vidik kode črva Rinbot.B je, da vključuje transkript, za katerega trdi, da je intervju TV mreže CNN z avtorji črva, ki pojasnjujejo svoje razloge za ustvarjanje tega črva. Besedilo lahko preberete tukaj.

“To je ena najbolj opaznih značilnosti novih trendov škodljivega programja. Avtorji zlonamernih programskih kod povečajo verjetnost okužb računalnikov tako, da razpošiljajo številne različice, skoraj simultano. To zmanjša tudi javno skrb o grožnjah, zato uporabniki niso pozorni,” pojasnjuje tehnični direktor laboratorijev PandaLabs Luis Corrons..

Virus Expiro.A okuži izvršljive datoteke (.exe) v mapi Program Files in njenih podmapah. Okuži tudi direktorij s kopijami virusa.

Ko uporabnik odpre okuženo datoteko, se virus zažene hkrati z izvorno datoteko. To naredi, da zbega uporabnike, daj ne bodo videli vidnih znakov okužbe.

Expiro.A ustavi svoje procese, če sumi, da ga pregledujejo varnostne rešitve. Več sekcij zlonamerne kode je šifriranih, da bi ga bilo težje odkriti.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

MVM SERVIS d.o.o.

Na trgu 28, 3330 Mozirje, Tel: 031 611 116
MVM SERVIS, spletne in grafične storitve, d. o. o. je podjetje, specializirano za celovito ponudbo kreativnih grafičnih rešitev na ključ. Od konkurence jih ločuje popolnoma lastna ... Več

PLANET GV d.o.o.

Likozarjeva ulica 3, 1000 Ljubljana, Tel: 080 33 44
V podjetju Planet GV posameznikom in podjetjem v Sloveniji pomagamo do novih znanj in boljših poslovnih rezultatov. Živimo in delujemo v skladu s svojim sloganom »Povezujemo priložnosti«. Bogati ... Več

ARCHUS.SI d.o.o.

Cankarjeva ulica 9c, 6000 Koper/capodistria, Tel: 070 890 096
O podjetju Archus.si  ARCHUS.SI d.o.o. je podjetje iz Kopra. Kot prvi v Sloveniji so leta 2008 oz. 2009 začeli ponujati nekaj aktualnih in zanimivih produktov nove tehnologije, kot ... Več
Zlati partner

GERI COMPUTER d.o.o., Notesniki.si

Titova cesta 49, 2000 Maribor, Tel: 051 444 252
Iščete odlično računalniško trgovino, ki vas lahko postreže tako osebno kot tudi na spletu? Računalniško trgovino, ki se lahko pohvali s portfeljem (namiznih in prenosnih) ... Več