Tedensko poročilo o virusih

V poročilo o virusih in vdorih tega tedna bomo pogledali kodo za izkoriščanje ranljivosti IFRAME.BoF in črve Mydoom.AE, Mydoom.AF in Gavir.A worms. IFRAME.BoF je koda za izkoriščanje ranljivosti prekoračitve medpomnilnika, ki se pojavi v brkljalniku Internet Explorer v6.0 in napadalcu omogoči zagon poljubne kode na daljavo na ranljivem računalniku. Ta ranljivost je označena kot zelo kritična.

Koda izkoriščanja se lahko vključi v zlonamerno spletno stran ali v e-poštno sporočilo v formatu HTML, ki vsebuje izvršljivo kodo. Izvršljiva koda se avtomatično zažene, ko se pojavi prekoračitev medpomnilnika. Izvršljiva koda je lahko katerekoli vrste, kar pomeni, da se lahko na prizadetem računalniku izvedejo katerekoli zlonamerne akcije. Ker še ni izdan popravek za rešitev tega problema, je priporočljivo protivirusne programe vzdrževati ves čas posodobljene. Dober nasvet je tudi v brkljalniku onemogočiti ‘Active Scripting’ in spremeniti nastavitev poštnega odjemalca, da se sporočila vidijo kot golo besedilo.

Nove različice AE in AF že znanega črva Mydoom že uporabljajo način izkoriščanja IFRAME.BoF. Oba črva, ki sta si podobna, se širita po e-pošti v sporočilih, ki jih generirata. Za to ustvarita strežnik HTTP na komunikacijskih vratih 1639.

Sporočila, ki jih pošiljata Mydoom.AE in Mydoom.AF, vključujejo povezavo do datotek, ki vsebujejo način izkoriščanja IFRAME.BoF. Če uporabnik, ki prejme e-pošto, klikne na povezavo in je računalnik ranljiv na to ranljivost, se bosta črva naložila in avtomatično zagnala.

Mydoom.AE in Mydoom.AF prav tako poskušata vzpostaviti povezavo do veliko strežnikov IRC preko vrat 6667.

Gavir.A je črv z izključnim ciljem naložiti različico družine trojancev Legmir. Gavir.A se širi po skupnih omrežnih virih in ustvari svoje kopije na IPC$ in ADMIN$, do katerih dostopi.

Gavir.A ustvari tudi skripto v začasni mapi, da bi se izbrisal po zagonu.

Za podrobnejše informacije o teh in drugih virusih obiščite virusno enciklopedijo Pande Software na: http://www.pandasoftware.com/virus_info/encyclopedia/

Tekoče informacije o stanju okuženosti z virusi po svetu lahko spremljate na brezplačnem informacijskem virusnem portalu Pande Software http://www.virusportal.com , na katerem so združena tudi brezplačna orodja za boj proti virusom.