Tedensko poročilo o virusih

V poročilo o virusih in vdorih tega tedna bomo pogledali pet črvov Sober.I, Bagle.BG, Yanz.A, Drew.A in Aler.A ter trojanca Msnsoug.A. Sober.I se pošilja po e-pošti z uporabo lastnih SMTP procedur v sporočilu v angleškem ali nemškem jeziku, odvisno od prejemnika. Iz okuženega računalnika pridobi e-naslove in jih shrani v datoteki. Da bi zagotovil svoj zagon ob vsakokratnem zagonu računalnika, ustvari več zapisov v registrski mapi Windows registry.

Bagle.BG se pošilja v e-pošti z različnimi značilnostmi. Akcije, ki jih izvaja, vključuje odpiranje in poslušanje na vratih TCP 2002. Delujejo kot stranska vrata, ki omogočajo dostop do okuženega računalnika. Bagle.BG zaključi tudi procese, ki pripadajo določenim aplikacijam, med drugim za posodabljanje protivirusnih programov, zaradi česar računalnik ostane ranljiv za napade drugih.

Yanz.A je e-poštni črv, ki se širi v sporočilih z različnimi značilnostmi in prikaže lažen naslov pošiljatelja. Za širjenje datotek lahko uporablja tudi programe za izmenjavo datotek v omrežjih P2P file – svoje kopije širi v mapah z imeni, ki vsebujejo črke ‘shar’. Tako sporočila kot skupne datoteke, ki jih ustvari, se nanašajo na kitajskega pevka Sun Yan Zi. Če se datoteka s črvom izvrši, Yanz.A prikaže majhno okno z besedilom “Kernel Hatasi”. Odpre tudi vrata TCP 67 in posluša na njih. Preko teh vrat bo poskušala naložiti vse vrste škodljivih programov, ki jih bo Yanz.A takoj izvršil.

Drew.A se širi po e-pošti in programih za izmenjavo datotek v omrežjih P2P. V prvem primeru uporabi lastne SMTP procedure za pošiljanje sporočil z zelo različnimi formati. Zadeva, besedilo sporočila in ime priponke so izbrani po naključju iz seznama. Za širjenje preko aplikacij P2P Drew.A preišče vse mape s tekstom ‘share’ in se prekopira v te mape. Pri tem uporabi imena, s katerimi želi zapeljati uporabnike: “Cameron Dias.scr”, “Delphi 8 keygen.com” in “DrWeb 4.32 Key.com”. Če uporabnik požene priponko s črvom Drew.A, bo le-ta ustvaril dve datoteki s svojimi kopijami. Istočasno se pošlje na vse naslove v adresarju in zbriše datoteke s končnicami HTM ali TXT, ki jih najde na računalniku.

Aler.A se je v zadnjem tednu masovno razširil, čeprav se je pojavil šele pred nekaj dnevi. Sporočilo ima v zadevi “Latest News about Arafat !!!” in vključuje dve priponki. Ena od njih je slika o pogrebu palestinskega politika. Druga pa vsebuje kodo, narejeno za izkoriščanje ranljivosti v brkljalniku Internet Explorer. Na ta način se črv avtomatično namesti in se razširi po ne dovolj zaščitenih omrežjih.

Trojanec Msnsoug.A se ne širi samostojno. Ko okuži računalnik, čaka, da uporabnik požene sejo MSN Messenger, in na vse aktivne uporabnike v tem trenutku pošlje tekstovno sporočilo v portugalščini.

Za podrobnejše informacije o teh in drugih virusih obiščite virusno enciklopedijo Pande Software na: http://www.pandasoftware.com/virus_info/encyclopedia/

Tekoče informacije o stanju okuženosti z virusi po svetu lahko spremljate na brezplačnem informacijskem virusnem portalu Pande Software http://www.virusportal.com, na katerem so združena tudi brezplačna orodja za boj proti virusom.