Programska oprema
13.03.2007 07:40

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih v prejšnjem tednu so se v laboratorijih PandaLabs osredotočili na trojanca ShotOne in Yabarasu, družino črvov Rinbot ter virus Expiro.A.

ShotOne na okuženem računalniku povzroča vrsto problemov. S spremembami v registru Windows lahko prepreči posodabljanje operacijskega sistema Windows in prepreči dostop do menija Datoteka (File) v brskalniku Internet Explorer ali raziskovalcu Windows Explorer. Lahko skrije tudi lastnosti v mapah Moji dokumenti (My documents) in Moj računalnik (My computer).

Drugi škodljivi učinki vključujejo onemogočanje menija z desnim klikom miške v opravilni vrstici in gumb Start, skrivanje ikon Notification Area ter preprečevanje dostopa do možnosti Run in Search v meniju Start.

Ta trojanec se zažene ob vsakokratnem zagonu sistema. Takrat prikaže več zaslonov, ki onemogočijo rabo računalnika. Računalnike, ki jih je okužil, tudi ugaša in ponovno zaganja vsake tri ure.

V laboratorijih PandaLabs so ustvarili video za prikaz nekaterih učinkov tega trojanca. Dostopen je na: http://www.pandasoftware.com/img/enc/ShotOne.wmv

Yabarasu se zažene ob vsakokratnem zagonu sistema in prikaže spodnje okno.

Prekopira se na okužene sisteme. Da bi pretental uporabnike, skrije vse končnice datotek in orodje za prikaz informacij ob prehodu kazalca miške nad datoteko v sistemu Windows. Skrije tudi mape v pogonu C: in jih zamenja s svojimi kopijami z enakim imenom in ikonami kot original. Ko uporabnik zažene eno od teh datotek, bo v resnici zagnal trojanca.

Both ShotOne in Yabarasu računalnike dosežeta preko e-pošte, nalaganja datotek, okuženih pomnilniških naprav, ipd.

V preteklem tednu so v laboratorijih PandaLabs odkrili več različic črvov družine Rinbot: Rinbot.B, Rinbot.F, Rinbot.G in Rinbot.H. Ti črvi se širijo tako, da se skopirajo na mapirane pogone ali skupne omrežne vire. Prekopirajo se tudi na naprave USB (predvajalnike MP3, spominske ključe,…), ki se povežejo na računalnik.

Nekatere različice za širjenje izkoriščajo tudi določene ranljivosti. Rinbot.B npr. izkorišča ranljivosti LSASS in RPC DCOM. Popravki za te varnostne pomanjkljivosti so dostopni že nekaj časa.

Rinbot.G izkorišča ranljivost v SQL Server, da se predstavlja kot uporabnik. Ko doseže računalnik, naloži svojo kopijo prek TFTP. Potem se zažene na sistemu.

Rinbot.H za širjenje prav tako izkorišča ranljivost. Išče strežnike z ranljivostjo MS01-032, ki jo je Microsoft odpravil v biltenu z enakim imenom.

Črvi Rinbot so narejeni, da odpirajo vrata na računalniku in se povežejo na strežnik IRC. To krekerju omogoči nadzor računalnika na daljavo.

Z interneta naložijo tudi trojanca Spammer.ZV, ki je narejen za pošiljanje neželene e-pošte na naslove, ki jih najde na okuženih računalnikih. Spremenijo tudi varnostne nastavitve in sistemska dovoljenja v brskalniku Internet Explorer in tako zmanjšajo varnostno raven računalnika.

Zanimiv vidik kode črva Rinbot.B je, da vključuje transkript, za katerega trdi, da je intervju TV mreže CNN z avtorji črva, ki pojasnjujejo svoje razloge za ustvarjanje tega črva. Besedilo lahko preberete tukaj.

“To je ena najbolj opaznih značilnosti novih trendov škodljivega programja. Avtorji zlonamernih programskih kod povečajo verjetnost okužb računalnikov tako, da razpošiljajo številne različice, skoraj simultano. To zmanjša tudi javno skrb o grožnjah, zato uporabniki niso pozorni,” pojasnjuje tehnični direktor laboratorijev PandaLabs Luis Corrons..

Virus Expiro.A okuži izvršljive datoteke (.exe) v mapi Program Files in njenih podmapah. Okuži tudi direktorij s kopijami virusa.

Ko uporabnik odpre okuženo datoteko, se virus zažene hkrati z izvorno datoteko. To naredi, da zbega uporabnike, daj ne bodo videli vidnih znakov okužbe.

Expiro.A ustavi svoje procese, če sumi, da ga pregledujejo varnostne rešitve. Več sekcij zlonamerne kode je šifriranih, da bi ga bilo težje odkriti.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

STUDIO DTS

Avčinova ulica 13, 1000 Ljubljana, Tel: 01 300 53 55
Veliko ljudi podcenjuje vlogo grafičnega oblikovanja pri rasti podjetja in prepoznavnosti blagovne znamke. Podjetje stežka preživi brez ustrezne komunikacije. Na tak ali drugačen ... Več

NCOM d.o.o.

Bičevje 5, 1000 Ljubljana, Tel: 040 855 519
Mobilne aplikacije so korenito spremenila način delovanja podjetij. Več kot 3 milijarde ljudi ima dostop do pametnega telefona. Mobilne aplikacije trenutno predstavljajo najučinkovitejši, ... Več
Zlati partner

SMART COM d.o.o.

Brnčičeva ulica 45, 1000 Ljubljana, Tel: 01 5611 606
Smart Com udejanja vaše vizije Težko je slediti razvoju informacijskega sveta. Rešimo en problem in že se pojavita dva nova. Kako ohraniti stik z razvojem tehnologije? Odgovor na ... Več
Zlati partner

ŠPICA INTERNATIONAL d.o.o.

Pot k sejmišču 33, 1231 Ljubljana Črnuče, Tel: 01 568 08 00
Špica International je vodilni slovenski ponudnik informacijskih sistemov in rešitev za obvladovanje časa in prostora. Realnega prostora v realnem času! Njihove rešitve vključujejo ... Več