Tedensko poročilo o virusih in vsiljivcih

Tokratno tedensko poročilo v glavnem omenja najnovejše Microsoft-ove varnostne biltene, ki so del njihove varnostne politike objavljanje varnostnih posodobitev vsak drugi torek v mesecu. Ti bilteni ponujajo rešitve za vrsto napak in ranljivosti v sistemu podjetja in aplikacijah. Poročilo prav tako omenja dve škodljivi kodi: Nedro.B in Haxdoor.NJ.

Microsoft je naredil deset varnostnih biltenov, dostopnih uporabnikom. Ti naslavljajo ranljivosti, ki so označene kot “kritične” (šest je takih), “pomembne” (ena), “zmerne” (dve) in “nizke” (ena) glede na njihovo ostrost oz. nevarnost.

* MS06-056: Popravi ranljivost v serverjih z .Net Framework 2.0. Ta pomanjkljivost je bila označena za “zmerno”.

* MS06-057: Posodobitve Windows Shell, da se uporabnik izogne izvršitvi kode. Tiče se Windows 2000, XP in Server 2003. Ocenjena kot “kritična”.

* MS06-058: Popravi šest ranljivosti v Power Point-u in je ocenjena kot “kritična”.

* MS06-059: Reši štiri ranljivosti v Microsoft Excelu in je ocenjena kot “kritična”.

* MS06-060: Posodobitev za popravo “kritičnih” ranljivosti v Microsoft Wordu.

* MS06-061: Vsebuje posodobitev za rešitev dveh Microsoft XLM Core Services ranljivosti. Microsoft ocenjuje to kot “kritično”. Namenjen je Windows NT4 SP6, 2000, XP in Server 2003.

* MS06-062: Posodobitev za rešitev Microsoft Office ranljivosti. Vpliva na Microsoft Office, Project in Visio. Ocenjena kot “kritična”.

* MS06-063: Rešuje dve ranljivosti v Windows Server storitvi. Ocenjena kot “pomembna”, vpliva na Windows 2000, Server 2003 in XP.

* MS06-064: Popravi tri zavrnitve storitev ranljivosti na TCP/IP IPv6 sistemih. Microsoft ocenjuje ta bilten kot “nizek” glede na lestvico. Namenjen je Windows XP in Server 2003 sistemom.

* MS06-065: Popravi ranljivost, ki vpliva na Windows XP in Server 2002, bolj natančno, “Windows Object Packager”. Ocenjen kot “zmeren”.

Prva škodljiva koda tokratnega tedenskega poročila je črv W32/Nedro.B.worm, ustvarjen da vpliva na Windows operativne sisteme. Širi se preko IRC in Yahoo! instantne klepetalnice.

Nedro.B opravi številne akcije, da bi neopažen smuknil mimo uporabnika in se izognil odkritju ter odstranitvi:

” Prepreči dostop do Windows Registra.
” Tako spremeni sistem da izvrši kodo črva vsakokrat ko so datoteke z naslednjimi obsegi zagnane: art, dat, avi, ini and pif.
” Prilagodi Microsoft Word ikono na .scr files (screensavers) da jo naredi manj sumljivo za uporabnike.
” Skrije .bat, .com, .exe in .scr datoteke (vse te datoteke so izvršilne in zato potencialno nevarne).
” Zbriše opcijo “Run” iz “Start” menija.
” Prepreči uporabnikom prenos trdega diska skozi Windows Explorer.
” Zaključi številne varnostne aplikacije.

Te akcije ne da samo omogočijo Nedro.B da se skrije, ampak tudi pusti sistem ranljiv za ostale škodljive kode.

Haxdoor.NJ je trojanec zadnjih vrat, ki zbira različne tipe gesel z okuženega računalnika, kot so tista za prijavo v sistem in za uporabo Outlooka in The Bat mail kliente. Haxdoor.NJ prav tako poskuša ukrasti gesla z e-Baya, e-gold in paypal sistemu. Če dobi te informacije, jih pošlje kreatorju škodljive kode s pomočjo uporabe rootkit-a, odkritega kot Rootkit/Haxdoor.NJ.

Haxdoor.NJ mora biti razširjen s pomočjo napadalca, saj se ne more širiti avtomatično. Ta rootkit prav tako odpre tri vhode da omogoči kreatorju da ubere podatke.

Da bi se širil Haxdoor.NJ vbrizga svojo kodod v Windows explorer.exe proces, in si pri tem zagotovi, da se zažene ob vsakem vklopu sistema. Da prepreči Windows XP SP2 požarnemu zidu opravljanje njegovega dela, spremeni nastavitve požarnega zidu, tako da je upoštevan kot avtorizirana aplikacija.