Tedensko poročilo o virusih

V tedenskem poročilu o virusih in vdorih preteklega tedna smo zasledili štiri ranljivosti, dva trojanca – WmvDownloader.A in WmvDownloader.B – ter dva črva Lasco.A in Gaobot.CKP.

Današnje poročilo bomo začeli s tremi ranljivostmi, za katere je Microsoft v tem tednu izdal ustrezne popravke.

– Ranljivost v pomoči Windows HTML, ki lahko hekerjem omogoči prevzem nadzora na računalnikom z enakimi pravicami kot uporabnik, ki je začel sejo. Lahko se izkoristi s posebej narejeno spletno stranjo in prizadene računalnike z Windows 2003/XP/2000/NT/Me/98.

– Varnostni problem v formatu ikon in kazalnikov Windows. Uporabnik ga lahko izkoristi za prevzem nadzora nad ranljivim računalnikom tako, da na zlonamerni spletni strani ali HTML e-pošti gosti posebej oblikovano ikono ali kazalnik. Prizadene računalnike z Windows 2003/XP/2000/NT/Me/98.

– Ranljivost v storitvi Index Server, ki omogoči izvršitev kode na daljavo in povečanje pravic. Prizadene računalnike Windows XP – brez servisnega paketa Service Pack 2 – in Windows 2003.

WmvDownloader.A in WmvDownloader.B sta trojanca, ki se širita po omrežjih P2P v obliki videto datotek s končnicami “.wmv”.

Za širjenje WmvDownloader.A in WmvDownloader.B uporabljata tehnologijo Windows Media Digital Rights Management (DRM), ki zahteva veljavno licenčno številko ob zagonu zaščitene datoteke Windows Media. Če uporabnik zažene video datoteko, okuženo z WmvDownloader.A ali WmvDownloader.B, ta dva trojanca simulirata nalaganje ustreznih licenc iz določenih spletnih strani. Vendar pa v resnici preusmerita uporabnike na druge naslove, s katerih se naložijo zlonamerne aplikacije, kot so oglaševalski, klicalni ali vohunski programi.

Lasco.A se širi po mobilnih telefonih, ki uporabljajo operacijski sistem Symbian. Čeprav je primarno ciljal na telefone serije Nokia 60, lahko napade tudi druge naprave z enakim programjem.

Lasco.A uporablja naslednja sredstva širjenja:

1. Preko tehnologije Bluetooth (tehnologije, ki omogoča brezžične povezave med napravami na kratke razdalje).
Ko se izvrši, Lasco.A začne iskati druge naprave, povezane z uporabo tehnologije Bluetooth in če jih najde, pošlje svojo kopijo v datoteki VELASCO.SIS. Ko je naprava, s katere se je poslal, izven dosega, Lasco.A poišče druge žrtve okužbe.

2. Umesti svojo kodo v vse datoteke SIS na prizadeti napravi. Ko se te datoteke prenesejo in zaženejo na novih napravah, se okužijo s črvom Lasco.A.

Da bi se lahko širil, Lasco.A zahteva posredovanje uporabnika, saj prejmejo sporočilo z najavo njegovega prispetja. Če uporabnik potrdi sporočilo, se črv sam namesti na napravi.

Gaobot.CKP je črv, ki se širi s kopijami na skupnih virih v omrežju in izkorišča ranljivosti LSASS, RPC DCOM in WebDAV. Lahko vstopi v računalnike, na katerih teče strežnik SQL Server, katerih geslo skrbniškega računa je prazno in v računalnike z DameWare Mini Remote Control. Gaobot.CKP lahko dostopa tudi do računalnikov, ki so jih okužili: Bagle.A, Mydoom.A, Optix, NetDevil, Kuang in SubSeven.

Gaobot.CKP napadalcem omogoča prevzem nadzora računalnikov na daljavo in jim omogoči izvršitev ukazov, nalaganje in izvrševanje datotek, zapisovanje udarcev na tipkovnico in izvajanje distribuiranih napadov za zavračanje storitev (Distributed Denial of Services – DDoS).

Tekoče informacije o stanju okuženosti z virusi po svetu lahko spremljate na brezplačnem informacijskem virusnem portalu Pande Software http://www.virusportal.com , na katerem so združena tudi brezplačna orodja za boj proti virusom.