Programska oprema
18.04.2005 08:44

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih tega tedna bomo pogledali pet ranljivosti v različnih Microsoftovih izdelkih in nove različice črvov Mytob, Gaobot in Kelvir.

Pet ranljivosti je bilo označenih kot kritične in ne prizadejeno le operacijskega sistema Windows, ampak tudi druge aplikacije, kot so Internet Explorer, Exchange Server, MSN Messenger, Word, Works in Office. Če se popravki za te pomanjkljivosti ne namestijo, lahko napadalec pridobi nadzor nad prizadetimi sistemi na daljavo.

Glede stanja zlonamernih kod lahko poudarimo vse večje število črvov Mytob. Črvi Mytob se povežejo na strežnik IRC in čakajo na oddaljene kontrolne ukaze, ki naj jih izvedejo na prizadetem računalniku, kot so brisanje, nalaganje ali zaganjanje datotek. Nekatere različice uporabniku preprečijo dostop do spletnih mest določenih protivirusnih in varnostnih podjetij. Širijo se tudi po e-pošti, preko interneta z izkoriščanjem ranljivosti LSASS in po omrežjih s šibkimi gesli. Proaktivne tehnologije TruPrevent znajo zaustaviti vse te različice, ne da bi jih bilo potrebno pred tem identificirati. Zato so uporabniki z nameščenimi tehnologijami TruPrevent varni že od začetka.

Črv Gaobot.EYP odpre tudi stranska vrata, s čimer oddaljenemu napadalcu omogoči pridobiti nadzor nad prizadetim računalnikom. Napadalec lahko izvaja več akcij, vključno s poganjanjem ukazov, nalaganjem in izvrševanjem datotek, lovljenja udarcev na tipkovnico, pridobivanja značilnosti računalnika, izvajanje distribuiranih napadov, ki povzročijo zavrnitev storitev, itd.

Gaobot.EYP zaključi tudi procese različnih varnostnih orodij, kot so protivirusni programi in požarni zidovi, zaradi česar ostane računalnik ranljiv za napade drugih. Zaključi tudi procese nekaterih drugih črvov.
Gaobot.EYP uporablja več metod širjenja:
– Prekopira se na skupne omrežne vire, do katerih uspe dostopiti.

– Za širjenje preko interneta izkorišča ranljivosti: LSASS, RPC DCOM, WINS prekoračitev medpomnilnika na storitvah delovnih postaj.

– V računalnike lahko vstopi s strežnikom SQL Server, katerega geslo administratorskega računa SA (System Administrator) je prazno.

Kelvir.L se širi preko aplikacije MSN Messenger s pošiljanjem sporočila na vse stike z besedilom “its you!”, ki kaže na naslov URL, ki pripada domeni hydr0.net.

Če uporabnik klikne nanjo, se naloži in zažene stisnjena samoizvršljiva datoteka Trj/MultiDropper.ZL. Ta vsebuje datoteko “uncanny.exe” in “advbot.exe”, ki so kopije črva Kelvir.L oziroma Gaobot.EYX

Več informacij v virusni enciklopediji Pande Software na:
http://www.pandasoftware.com/virus_info/encyclopedia/


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

APPOTEKA d.o.o.

Kamniška ulica 41, 1000 Ljubljana, Tel: 030 220 500
B2B (prodaja poslovnim kupcem) poslovni svet se nenehno spreminja in v mnogih pogleda postaja bolj podoben B2C (prodaja potrošnikom) svetu. B2B partner si zdaj želi nakupno izkušnjo, ... Več
Zlati partner

Endava PLC

Vilharjeva cesta 46, 1000 Ljubljana,
Endava spreminja odnos med ljudmi in tehnologijo. Pri izkoriščanju prednosti novih poslovnih modelov in priložnosti na trgu pomagamo nekaterim vodilnim svetovnim podjetjem iz ... Več
Zlati partner

UL FRI

Večna pot 113, 1000 Ljubljana, Tel: 01 479 81 03
Spoznali smo že, da so računalniki neverjetni stroji, za katere se zdi, da ni meja, da so sposobni narediti vse, kar si človek zamisli in tudi tisto, kar si danes večina ljudi še ... Več
Zlati partner

VIBOR d.o.o.

Brnčičeva ulica 41d, 1231 Ljubljana Črnuče, Tel: 01 561 33 21
Podjetje Vibor z unikatnim pristopom že od leta 1993 zagotavlja neprekinjeno podporo celotni organizaciji z zanesljivo opremo ter rešitvami, ki poenostavljajo in povezujejo delovne ... Več