Tedensko poročilo o virusih in vsiljivcih

Težave so bližje kot si mislite.

Tokratno tedensko poročilo poroča o Sinowal.CR in Briz.R. trojancih ter o črvu Sohanat.U.

Sinowal.CR je ustvarjen za zbiranje zaupnih informacij, kot so gesla in ostali shranjeni podatki v zaščitenem področju ali pa e-maili naslovi klientov, vključno z Ak-Mail, Eudora in The Bat.

Sinowal.CR prav tako zbira informacije o okuženih računalnikih, kot so IP naslovi, ime računalnika, geografska lega, odprti vhodi, itd. Trojanec nato pošlje ukradeno informacijo na nekatere internetne strežnike.

Kot večina trojancev se tudi Sinowal.CR ne more širiti sam in zato potrebuje intervencijo šodljivega uporabnika. Distribucijski vektorji varirajo in vsebujejo floppy disketne pogone, okužene CD-rome, e-sporočila s priponkami, internetno prenašanje datotek, datoteke prenešene preko FTP, IRC kanalov, P2P omrežij za izmenjavo datotek, itd.

Briz.R je visoko nevaren trojanec, ustvarjen da daje cyber-kriminalcem popoln nadzor nad okuženimi računalniki, in da preusmerijo uporabnike na vohunjene internetne strani, ki so ustvarjenje za krajo podatkov. Izvor te škodljive kode je povezan s prevaro ustvarjanja in prodajanja prilagojene verzije Briz-a, odkrite in onesposobljene s strani pandinih laboratorijev pred nekaj meseci.

Briz.R napad se začne z namestitvijo datoteke imenovane iexplore.exe, ki je ustvarjena, da ugotovi, ali obstaja internetna povezava ali ne. Če je temu tako, namesti naslednjo datoteko imenovano ieschedule.exe, ki se uporablja za shanitev parametrov povezanih s trojanci, kot so vhodi, uporabljeni za pošiljanje ukradenih podatkov.

Naslednja nameščena komponenta je ieserver.exe, ki ustvari web server v računalniku. Namen web serverja je preusmeriti uporabnika na vohunjeno web stran, ki je ustvarjena za krajo osebnih podatkov, kadarkoli želi uporabnik dostopiti do katerega koli naslova, še posebej tistih, povezanih s kakšnimi online finančnimi storitvami. Če uporabniki na teh straneh vnesejo svoje podatke, trojanci le-te informacije prestrežejo in jih prenesejo do cyber-sleparjev. Ta web server prav tako omogoča oddaljeni dostop do računalnika preko namestitve aplikacije, programirane v PHP, imenovane phpRemoteView.

Briz.R prav tako modificira sistem host datoteke, da prepreči dostop številnim z varnostjo povezanimi web stranmi.

Sohanat.U pa je črv, ki se širi preko instant klepetalnega programa, vključno z Yahoo Messenger, AIM ali Windows Live Messenger. Pošilja sporočilo kot je “Download free MP3s”, skupaj z linkom, ki namesti kopijo črva na računalnik, ko uporabnik klikne na link.

Ko enkrat okuži računalnik, črv onemogoči procese, povezane z določeno varnostno aplikacijo. Prav tako spremeni Internet Explorer domačo stran.

Sohanat.U onemogoči Windows task manager-ja, kot tudi regedit.exe program z namenom da prepreči uporaniku, da lahko črva odstrani iz računalnika.