Programska oprema
18.04.2005 08:44

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

V poročilu o virusih in vdorih tega tedna bomo pogledali pet ranljivosti v različnih Microsoftovih izdelkih in nove različice črvov Mytob, Gaobot in Kelvir.

Pet ranljivosti je bilo označenih kot kritične in ne prizadejeno le operacijskega sistema Windows, ampak tudi druge aplikacije, kot so Internet Explorer, Exchange Server, MSN Messenger, Word, Works in Office. Če se popravki za te pomanjkljivosti ne namestijo, lahko napadalec pridobi nadzor nad prizadetimi sistemi na daljavo.

Glede stanja zlonamernih kod lahko poudarimo vse večje število črvov Mytob. Črvi Mytob se povežejo na strežnik IRC in čakajo na oddaljene kontrolne ukaze, ki naj jih izvedejo na prizadetem računalniku, kot so brisanje, nalaganje ali zaganjanje datotek. Nekatere različice uporabniku preprečijo dostop do spletnih mest določenih protivirusnih in varnostnih podjetij. Širijo se tudi po e-pošti, preko interneta z izkoriščanjem ranljivosti LSASS in po omrežjih s šibkimi gesli. Proaktivne tehnologije TruPrevent znajo zaustaviti vse te različice, ne da bi jih bilo potrebno pred tem identificirati. Zato so uporabniki z nameščenimi tehnologijami TruPrevent varni že od začetka.

Črv Gaobot.EYP odpre tudi stranska vrata, s čimer oddaljenemu napadalcu omogoči pridobiti nadzor nad prizadetim računalnikom. Napadalec lahko izvaja več akcij, vključno s poganjanjem ukazov, nalaganjem in izvrševanjem datotek, lovljenja udarcev na tipkovnico, pridobivanja značilnosti računalnika, izvajanje distribuiranih napadov, ki povzročijo zavrnitev storitev, itd.

Gaobot.EYP zaključi tudi procese različnih varnostnih orodij, kot so protivirusni programi in požarni zidovi, zaradi česar ostane računalnik ranljiv za napade drugih. Zaključi tudi procese nekaterih drugih črvov.
Gaobot.EYP uporablja več metod širjenja:
– Prekopira se na skupne omrežne vire, do katerih uspe dostopiti.

– Za širjenje preko interneta izkorišča ranljivosti: LSASS, RPC DCOM, WINS prekoračitev medpomnilnika na storitvah delovnih postaj.

– V računalnike lahko vstopi s strežnikom SQL Server, katerega geslo administratorskega računa SA (System Administrator) je prazno.

Kelvir.L se širi preko aplikacije MSN Messenger s pošiljanjem sporočila na vse stike z besedilom “its you!”, ki kaže na naslov URL, ki pripada domeni hydr0.net.

Če uporabnik klikne nanjo, se naloži in zažene stisnjena samoizvršljiva datoteka Trj/MultiDropper.ZL. Ta vsebuje datoteko “uncanny.exe” in “advbot.exe”, ki so kopije črva Kelvir.L oziroma Gaobot.EYX

Več informacij v virusni enciklopediji Pande Software na:
http://www.pandasoftware.com/virus_info/encyclopedia/


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

e-asist d.o.o.

Taborska cesta 19, 1230 Domžale, Tel: 040 879 080
Težave s tiskalniki? In to ravno takrat, ko imate največ dela? Z vključitvijo naprav v sistem nadzora, vam podjetje e-asist d.o.o. lahko zagotovi najmanjše število okvar ... Več

NGN MEDIA

Ulica 15. maja 10b, 6000 Koper/capodistria, Tel: 041 694 668
Ste na spletu? Če niste, ne obstajate. To je resnica digitalne dobe. Potrošniki iščejo najhitrejšo pot do izdelka ali storitve. Na vas je, da jim to omogočite, bodisi prek spletne ... Več
Zlati partner

Crayon

Šmartinska cesta 106, 1000 Ljubljana, Tel: 0597 87 142
Crayon je globalno podjetje, ki svojim strankam pomaga zgraditi komercialne in tehnične temelje za uspešno digitalno transformacijo v oblak. Ponujamo celovite IT rešitve migracij ... Več
Diamantni partner

Miklavčič marketing, d.o.o.

Zgornji Brnik 130H, 4210 Brnik aerodrom, Tel: 041 414 847