Tedensko poročilo o virusih in vsiljivcih

Pretekli teden so imeli protivirusni programi kopico dela…

Tokrat v tedenskem poročilu opisujemo: sedem primerov škodljivih kod, eno hekersko orodje, Amplusnet; dva trojanca, Mytob.EN in Downloader.CZR; dva črva, Mytob.EP, in Bobax.AO; en spyware program, Smitfraud; in virus Smitfraud.A. Drži, precej pester teden je za nami.

Amplusnet je orodje, ki je lahko, čeprav je legitimna in uporabna aplikacija, uporabljeno s strani napadalcev za ogrožanje zasebnosti na daljavo. Uporablja se za pregledovanje in logiranje aktivnosti uporabnika na določenih spletnih straneh, shranjuje navade presnemavanj in druge zaupne informacije ter o tem generira poročila. Ta aplikacija je lahko zaščitena z geslom, tako da ni vidna v Task Managerju in teče vedno ko je sistem vkopljen. V ta namen kreira poseben ključ v sistemskem registru.

Mytob.EN in Mytob.EP sta dve varianti iz številne družine Mytob črvov, ki postaja največji organiziran napad v zgodovini interneta. Vendar imata ta dva zelo različne karakteristike: medtem ko Mytob.EP deluje enako kot druge variante Mytoba, s širjenjem v prilogi elektronske pošte in sprejemanjem ukazov preko IRC-a, je Mytob.EN prvi v tej družini, ki ima značilnosti trojanca. Za svoje širjenje uporablja tehniko priključitve na online bančne prevare ali phising. Trojanec pošilja potem elektronska sporočila, ki namesto vključitve škodljive kode vključi URL, kjer uporabnik, ki je prejel tako elektronsko sporočilo le potrdi podatke o svojem bančnem računu za določeno bitje. Ta URL dejansko vsebuje kopijo trojanca, ki je bil prenesen v računalnik ko je uporabnik imel dostop do določene spletne strani. Kot druge variante, ima ta primerek tudi značilnosti backdoor-ja in zaustavi procese, ki pripadajo protivirusnim aplikacijam.

Bobax.AO in Downloader.CZR sta izvedla skupni napad prejšnji teden, v katerem je trojanec Downloader.CZR, ki se distribuira ročno preko različnih možnih načinov, bil prenešen v računalnik, okužen s črvom Bobax.AO. To škodljivo kodo je možno upravljati na daljavo, zaradi česar je zelo vsestranska. Aktivnosti, ki jih lahko izvaja, vključujejo presnemavanje in zaganjanje datotek, masovno pošiljanje spamov in celo lastno posodabljanje. Ta črv se širi z uporabo naslednjih poti: preko prej opisanega trojanca, z okuženo datoteko, pripeto drugemu elektronskemu sporočilu ali z izkoriščanjem ranljivosti v LSASS procesih, ki na slepo napadajo IP naslove. Še več, zaščiti se z blokiranjem dostopa do določenih spletnih strani, večinoma do tistih, ki pripadajo družbam, ki skrbijo za IT varnost.

Smitfraud in Smitfraud.A sta tudi napadla koordinirano in se jima je uspelo hitro zelo razširiti, posebej Smitfraud.A. Prvi omenjeni je spyware program, ki se namesti na računalnik, ne da bi uporabnik to opazil, in ko se zažene, spremeni namizje Windowsov v prikaz klasičnnega mrtvega modrega ekrana, z nasvetom uporabniku, da aktivira antispyware rešitev, ki bo rešila problem. Ta spyware program predhodno namesti rešitev PSGuard, ki bo odkrila škodljivo kodo, vendar mora uporabnik to rešitev registrirati, da bi lahko dezinficiral računalnik. Smitfraud.A je uporabljen s spyware programom z namenom da okuži datoteko wininet.dll, jo nadomesti z oleadm32.dll, ko je system ponovno zagnan. Smitfraud je drugi primer škodljive kode, ki je bila prenešena z CoolWebSearch in lahko okuži računalnik, kadar uporabnik gleda podtalne spletne strani ali strani z vsebino za odrasle.