Tedensko poročilo o virusih

V poročilo o virusih in vdorih tega tedna bomo pogledali štiri črve: Maslam.A, Maslam.B, Atak.D in Atak.E. Maslam.A in Maslam.B prizadeneta računalnike z operacijskim sistemom Windows 95/98/ME/NT/2000/XP, pri čemer izkoriščata ranljivost LSASS. Pošiljata se po elektronski pošti z uporabo lastnih SMTP procedur. Oba črva imata naslednje skupne značilnosti:

– Nadzorujeta Internet Explorer in iščeta nize: evocash, e-bullion, e-gold, mail, bank, trade ali paypal. Ko najdeta katerega od teh, zabeležita vse podatke, ki jih vnese uporabnik in jih pošljeta na določeno spletno mesto.

– Iščeta datoteke s končnicami rar, zip, pif ali exe in ki imajo v nazivu poti naslednje besedilne nize: distr, download, setup ali share. Te datoteke zamenjata s svojimi kopijami.

– Ko se zaženeta, na zaslonu prikažeta sporočilo o napaki.

Glavna razlika med obema je v imenu priponke v sporočilu, v katerem se pošiljata in besedilu, ki se pojavi v polju Zadeva e-poštnega sporočila.

Različici D in E črva Atak se širita po e-pošti v sporočilu z različnimi značilnostmi. Sporočilo vsebuje priponko s končnico bat, com, exe, pif ali scr. Ta datoteka je včasih zgoščena v datoteko zip. Oba črva tudi uporabita lažne naslove pošiljatelja sporočila, da pretentata prejemnike.

Atak.D in Atak.E imata tudi naslednje značilnosti:

– Uporabita lastne SMTP procedure, da se pošljeta na naslove, ki jih pridobita iz okuženega računalnika.

– V sistemskem direktoriju sistema Windows ustvarita kopijo črva – Atak.D ustvari datoteko A1G.EXE, Atak.E pa DAPDLL.EXE.

– Spremenita zapise v registrski mapi, da zagotovita svoj zagon ob vsakokratnem zagonu sistema.

Glavne različice med črvoma Atak D in E so:

– Atak.D je velik 12.037 bajtov iz zgoščen s FSG, različica E pa ima 11.189 bajtov.

– Razlika je v mutexu, ki ga ustvarita, da zagotovita, da hkrati ne teče več kot ena različica črva.

Za podrobnejše informacije o teh in drugih virusih obiščite virusno enciklopedijo Pande Software na: http://www.pandasoftware.com/virus_info/encyclopedia/.