Programska oprema
13.03.2007 07:40

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih v prejšnjem tednu so se v laboratorijih PandaLabs osredotočili na trojanca ShotOne in Yabarasu, družino črvov Rinbot ter virus Expiro.A.

ShotOne na okuženem računalniku povzroča vrsto problemov. S spremembami v registru Windows lahko prepreči posodabljanje operacijskega sistema Windows in prepreči dostop do menija Datoteka (File) v brskalniku Internet Explorer ali raziskovalcu Windows Explorer. Lahko skrije tudi lastnosti v mapah Moji dokumenti (My documents) in Moj računalnik (My computer).

Drugi škodljivi učinki vključujejo onemogočanje menija z desnim klikom miške v opravilni vrstici in gumb Start, skrivanje ikon Notification Area ter preprečevanje dostopa do možnosti Run in Search v meniju Start.

Ta trojanec se zažene ob vsakokratnem zagonu sistema. Takrat prikaže več zaslonov, ki onemogočijo rabo računalnika. Računalnike, ki jih je okužil, tudi ugaša in ponovno zaganja vsake tri ure.

V laboratorijih PandaLabs so ustvarili video za prikaz nekaterih učinkov tega trojanca. Dostopen je na: http://www.pandasoftware.com/img/enc/ShotOne.wmv

Yabarasu se zažene ob vsakokratnem zagonu sistema in prikaže spodnje okno.

Prekopira se na okužene sisteme. Da bi pretental uporabnike, skrije vse končnice datotek in orodje za prikaz informacij ob prehodu kazalca miške nad datoteko v sistemu Windows. Skrije tudi mape v pogonu C: in jih zamenja s svojimi kopijami z enakim imenom in ikonami kot original. Ko uporabnik zažene eno od teh datotek, bo v resnici zagnal trojanca.

Both ShotOne in Yabarasu računalnike dosežeta preko e-pošte, nalaganja datotek, okuženih pomnilniških naprav, ipd.

V preteklem tednu so v laboratorijih PandaLabs odkrili več različic črvov družine Rinbot: Rinbot.B, Rinbot.F, Rinbot.G in Rinbot.H. Ti črvi se širijo tako, da se skopirajo na mapirane pogone ali skupne omrežne vire. Prekopirajo se tudi na naprave USB (predvajalnike MP3, spominske ključe,…), ki se povežejo na računalnik.

Nekatere različice za širjenje izkoriščajo tudi določene ranljivosti. Rinbot.B npr. izkorišča ranljivosti LSASS in RPC DCOM. Popravki za te varnostne pomanjkljivosti so dostopni že nekaj časa.

Rinbot.G izkorišča ranljivost v SQL Server, da se predstavlja kot uporabnik. Ko doseže računalnik, naloži svojo kopijo prek TFTP. Potem se zažene na sistemu.

Rinbot.H za širjenje prav tako izkorišča ranljivost. Išče strežnike z ranljivostjo MS01-032, ki jo je Microsoft odpravil v biltenu z enakim imenom.

Črvi Rinbot so narejeni, da odpirajo vrata na računalniku in se povežejo na strežnik IRC. To krekerju omogoči nadzor računalnika na daljavo.

Z interneta naložijo tudi trojanca Spammer.ZV, ki je narejen za pošiljanje neželene e-pošte na naslove, ki jih najde na okuženih računalnikih. Spremenijo tudi varnostne nastavitve in sistemska dovoljenja v brskalniku Internet Explorer in tako zmanjšajo varnostno raven računalnika.

Zanimiv vidik kode črva Rinbot.B je, da vključuje transkript, za katerega trdi, da je intervju TV mreže CNN z avtorji črva, ki pojasnjujejo svoje razloge za ustvarjanje tega črva. Besedilo lahko preberete tukaj.

“To je ena najbolj opaznih značilnosti novih trendov škodljivega programja. Avtorji zlonamernih programskih kod povečajo verjetnost okužb računalnikov tako, da razpošiljajo številne različice, skoraj simultano. To zmanjša tudi javno skrb o grožnjah, zato uporabniki niso pozorni,” pojasnjuje tehnični direktor laboratorijev PandaLabs Luis Corrons..

Virus Expiro.A okuži izvršljive datoteke (.exe) v mapi Program Files in njenih podmapah. Okuži tudi direktorij s kopijami virusa.

Ko uporabnik odpre okuženo datoteko, se virus zažene hkrati z izvorno datoteko. To naredi, da zbega uporabnike, daj ne bodo videli vidnih znakov okužbe.

Expiro.A ustavi svoje procese, če sumi, da ga pregledujejo varnostne rešitve. Več sekcij zlonamerne kode je šifriranih, da bi ga bilo težje odkriti.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

PC H.AND d.o.o.

Brezovce 10, 1236 Trzin, Tel: 01 530 08 00
PC H.AND - podjetje s tradicijo Svetovni trg ponuja pravo enciklopedijo izdelkov, med katerimi se težko odločimo. Na pomoč vam priskoči podjetje PC H.AND, ki se lahko pohvali z ... Več

Komponentko d.o.o.

Ulica Ambrožiča Novljana 5, 1000 Ljubljana, Tel: 030 755 005
Računalniške ponudbe je v Sloveniji ogromno. Dobre računalniške ponudbe pa zelo malo. Vsak, ki se odloča za nakup računalnika, grafične kartice ali katerekoli druge računalniške ... Več

OD A – Ž d.o.o.

Mariborska cesta 128, 3000 Celje, Tel: 041 627 640

Nova Vizija, informacijski inženiring in svetovanje, d.d.

Celjska cesta 9, 3310 Žalec, Tel: 03 71 21 800
Odločitev, v katero informacijsko tehnologijo bi moralo vlagati vaše podjetje in v katere ne, je težka. Po eni strani želite biti tisti, ki je odgovoren za inovacije in rast ... Več