Tedensko poročilo o virusih
V poročilo o virusih in vdorih tega tedna bomo pogledali štiri črve: Maslam.A, Maslam.B, Atak.D in Atak.E. Maslam.A in Maslam.B prizadeneta računalnike z operacijskim sistemom Windows 95/98/ME/NT/2000/XP, pri čemer izkoriščata ranljivost LSASS. Pošiljata se po elektronski pošti z uporabo lastnih SMTP procedur. Oba črva imata naslednje skupne značilnosti:
– Nadzorujeta Internet Explorer in iščeta nize: evocash, e-bullion, e-gold, mail, bank, trade ali paypal. Ko najdeta katerega od teh, zabeležita vse podatke, ki jih vnese uporabnik in jih pošljeta na določeno spletno mesto.
– Iščeta datoteke s končnicami rar, zip, pif ali exe in ki imajo v nazivu poti naslednje besedilne nize: distr, download, setup ali share. Te datoteke zamenjata s svojimi kopijami.
– Ko se zaženeta, na zaslonu prikažeta sporočilo o napaki.
Glavna razlika med obema je v imenu priponke v sporočilu, v katerem se pošiljata in besedilu, ki se pojavi v polju Zadeva e-poštnega sporočila.
Različici D in E črva Atak se širita po e-pošti v sporočilu z različnimi značilnostmi. Sporočilo vsebuje priponko s končnico bat, com, exe, pif ali scr. Ta datoteka je včasih zgoščena v datoteko zip. Oba črva tudi uporabita lažne naslove pošiljatelja sporočila, da pretentata prejemnike.
Atak.D in Atak.E imata tudi naslednje značilnosti:
– Uporabita lastne SMTP procedure, da se pošljeta na naslove, ki jih pridobita iz okuženega računalnika.
– V sistemskem direktoriju sistema Windows ustvarita kopijo črva – Atak.D ustvari datoteko A1G.EXE, Atak.E pa DAPDLL.EXE.
– Spremenita zapise v registrski mapi, da zagotovita svoj zagon ob vsakokratnem zagonu sistema.
Glavne različice med črvoma Atak D in E so:
– Atak.D je velik 12.037 bajtov iz zgoščen s FSG, različica E pa ima 11.189 bajtov.
– Razlika je v mutexu, ki ga ustvarita, da zagotovita, da hkrati ne teče več kot ena različica črva.
Za podrobnejše informacije o teh in drugih virusih obiščite virusno enciklopedijo Pande Software na: http://www.pandasoftware.com/virus_info/encyclopedia/.
Prijavi napako v članku