Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih tega tedna bomo pogledali pet ranljivosti v različnih Microsoftovih izdelkih in nove različice črvov Mytob, Gaobot in Kelvir.

Pet ranljivosti je bilo označenih kot kritične in ne prizadejeno le operacijskega sistema Windows, ampak tudi druge aplikacije, kot so Internet Explorer, Exchange Server, MSN Messenger, Word, Works in Office. Če se popravki za te pomanjkljivosti ne namestijo, lahko napadalec pridobi nadzor nad prizadetimi sistemi na daljavo.

Glede stanja zlonamernih kod lahko poudarimo vse večje število črvov Mytob. Črvi Mytob se povežejo na strežnik IRC in čakajo na oddaljene kontrolne ukaze, ki naj jih izvedejo na prizadetem računalniku, kot so brisanje, nalaganje ali zaganjanje datotek. Nekatere različice uporabniku preprečijo dostop do spletnih mest določenih protivirusnih in varnostnih podjetij. Širijo se tudi po e-pošti, preko interneta z izkoriščanjem ranljivosti LSASS in po omrežjih s šibkimi gesli. Proaktivne tehnologije TruPrevent znajo zaustaviti vse te različice, ne da bi jih bilo potrebno pred tem identificirati. Zato so uporabniki z nameščenimi tehnologijami TruPrevent varni že od začetka.

Črv Gaobot.EYP odpre tudi stranska vrata, s čimer oddaljenemu napadalcu omogoči pridobiti nadzor nad prizadetim računalnikom. Napadalec lahko izvaja več akcij, vključno s poganjanjem ukazov, nalaganjem in izvrševanjem datotek, lovljenja udarcev na tipkovnico, pridobivanja značilnosti računalnika, izvajanje distribuiranih napadov, ki povzročijo zavrnitev storitev, itd.

Gaobot.EYP zaključi tudi procese različnih varnostnih orodij, kot so protivirusni programi in požarni zidovi, zaradi česar ostane računalnik ranljiv za napade drugih. Zaključi tudi procese nekaterih drugih črvov.
Gaobot.EYP uporablja več metod širjenja:
– Prekopira se na skupne omrežne vire, do katerih uspe dostopiti.

– Za širjenje preko interneta izkorišča ranljivosti: LSASS, RPC DCOM, WINS prekoračitev medpomnilnika na storitvah delovnih postaj.

– V računalnike lahko vstopi s strežnikom SQL Server, katerega geslo administratorskega računa SA (System Administrator) je prazno.

Kelvir.L se širi preko aplikacije MSN Messenger s pošiljanjem sporočila na vse stike z besedilom “its you!”, ki kaže na naslov URL, ki pripada domeni hydr0.net.

Če uporabnik klikne nanjo, se naloži in zažene stisnjena samoizvršljiva datoteka Trj/MultiDropper.ZL. Ta vsebuje datoteko “uncanny.exe” in “advbot.exe”, ki so kopije črva Kelvir.L oziroma Gaobot.EYX

Več informacij v virusni enciklopediji Pande Software na:
http://www.pandasoftware.com/virus_info/encyclopedia/