Οι Τεχνολογίες TruPrevent κατάφεραν να μπλοκάρουν ένα νέο Δούρειο Ίππο

Το Εργαστήριο Καταπολέμησης Ιών της Panda Software, PandaLabs, εντόπισε μία νέα παραλλαγή της οικογένειας Δούρειων Ίππων Downloader. Το όνομά του είναι Downloader.EJD και παρουσιάζεται στους χρήστες σαν μία διόρθωση λογισμικού για το πρόβλημα ασφάλειας της υπηρεσίας Plug and Play των Windows - ένα πρόβλημα το οποίο πρόσφατα εκμεταλλεύτηκαν τα worms Zotob, IRCBot.KC και IRCBot.KD για να διεισδύσουν σε συστήματα υπολογιστών, προκαλώντας "πορτοκαλί" συναγερμό, δεδομένου ότι κατάφεραν να μολύνουν γνωστούς οργανισμούς ΜΜΕ όπως οι CNN, ABC και The New York Times, ιδρύματα όπως το Κογκρέσο των ΗΠΑ, και μεγάλες εταιρείες όπως η Caterpillar. Οι Τεχνολογίες TruPrevent™ κατάφεραν να μπλοκάρουν προληπτικά αυτό το Δούρειο Ίππο, χωρίς να γνωρίζουν την ταυτότητά του, αλλά αναλύοντας την συμπεριφορά του. Συνεπώς, οι υπολογιστές που διαθέτουν ήδη αυτές τις τεχνολογίες προληπτικής ασφάλειας της Panda Software ήταν άτρωτοι στις επιθέσεις του Downloader.EJD από την πρώτη κιόλας στιγμή που παρουσιάστηκε.

Όμοια με τους περισσότερους άλλους Δούρειους Ίππους, το Downloader.EJD δεν μπορεί να εξαπλωθεί μόνο του αλλά χρειάζεται τη συνδρομή ενός ή περισσότερων κακόβουλων ατόμων, τα οποία προετοιμάζουν και στέλνουν μαζικά το email που περιέχει το Δούρειο Ίππο. Στην συγκεκριμένη περίπτωση, το μήνυμα αυτό έχει τα ακόλουθα χαρακτηριστικά:

Αποστολέας:

uρdate@microsoft.com

Θέμα:

What You Need to Know About the Zotob.A Worm

Κείμενο μηνύματος:

What You Should Know About Zotob

Published: August 14, 2005 | Uρdated: August 19, 2005 Severity VirusGreen

What the levels mean

Supported Software Affected

Windows All Version

Microsoft Security Advisory 899588

Zotob.A

Zotob.B

Zotob.C

Zotob.D

Zotob.E

Bobax.O

Esbot.A

Rbot.MA

Rbot.MB

Rbot.MC

Zotob is a worm that targets All Windows computers and takes advantage of a security issue that was addressed by Microsoft Security Bulletin MS05-039. This worm and its variants install malicious software, and then search for other computers to infect.

Important If you have installed the uρdate released with Security Bulletin MS05-039, you are already protected from Zotob and its variants. If you are using any supported version of Windows, you are not at risk from Zotob and its variants.

Use the Microsoft Windows Malicious Software Removal Tool to search for and remove the Zotob worm and its variants from your hard drive.

This tool checks for and removes infections from Zotob.A through Zotob.E as well as Bobax.O, Esbot.A, Rbot.MA, Rbot.MB, and Rbot.MC. It also checks for and removes all versions of malicious software that the tool has been uρdated to remove.

Το συνημμένο αρχείο του μηνύματος έχει όνομα MS05-039.exe - το ίδιο με τον αριθμό αναφοράς που καθόρισε η Microsoft για το πρόβλημα ασφάλειας με την υπηρεσία Plug and Play.

Ωστόσο, δεδομένου ότι το μήνυμα δημιουργήθηκε χειροκίνητα από τα άτομα που το έστειλαν μαζικά, υπάρχει μεγάλη πιθανότητα να ανιχνευτούν και άλλα μηνύματα, με διαφορετικά χαρακτηριστικά, τα οποία θα περιέχουν το Downloader.EJD.

Εάν ο παραλήπτης εκτελέσει το συνημμένο αρχείο, ο Δούρειος Ίππος αντιγράφει τον εαυτό του στο σύστημα με όνομα αρχείου svchst.exe, και κατόπιν εκτελεί τον εαυτό του. Αφού τρέξει, επιχειρεί να απενεργοποιήσει αρκετές εφαρμογές ασφάλειας οι οποίες μπορεί να είναι εγκατεστημένες στο σύστημα, και μεταφέρει ένα αρχείο με όνομα Agent.AII, το οποίο, με τη σειρά του, δημιουργεί αρκετά αρχεία στο σύστημα, με στόχο την κλοπή πληροφοριών που μεταδίδονται μέσω ιστοσελίδων και περιλαμβάνουν όρους όπως οι ακόλουθοι στα URL τους: e-gold, e-bullion, intgold, 1MDC, Pecunix, GoldMoney, Virtualgold, NetPad, paymer, κ.α. Επιπλέον, το Agent.AII δημιουργεί αρκετές καταχωρίσεις στο Registry των Windows για να διασφαλίσει ότι θα εκτελείται όταν εκκινεί το σύστημα.

Για την αποτροπή μολύνσεων, η Panda Software συνιστά στους χρήστες να ενημερώσουν το λογισμικό antivirus που χρησιμοποιούν. Οι πελάτες της Panda Software έχουν ήδη στη διάθεσή τους τις κατάλληλες ενημερώσεις για την ανίχνευση και εξουδετέρωση αυτών των νέων μορφών εχθρικού λογισμικού.

Οι πελάτες της Panda Software που δεν διαθέτουν τις Τεχνολογίες TruPrevent™, έχουν στη διάθεσή τους ενημερώσεις τις οποίες μπορούν να εγκαταστήσουν μαζί με το antivirus για να διασφαλίσουν την προληπτική προστασία των υπολογιστών τους έναντι άγνωστων μορφών εχθρικού λογισμικού όπως τα Downloader.EJD and Agent.All. Για τους χρήστες λύσεων antivirus διαφορετικών κατασκευαστών, το Panda TruPrevent™ Personal είναι η ιδανική λύση, καθώς είναι συμβατό με τα περισσότερα προϊόντα antivirus της αγοράς και παρέχει ένα δεύτερο επίπεδο προληπτικής προστασίας, μειώνοντας ακόμη περισσότερο τον κίνδυνο μόλυνσης. Για περισσότερες πληροφορίες σχετικά με τις Τεχνολογίες TruPrevent™, ανατρέξτε στην ιστοσελίδα http://www.pandasoftware.com/truprevent

Για να βοηθήσει όσο το δυνατόν περισσότερους χρήστες να προστατέψουν τα συστήματά τους από τους ιούς, η Panda Software διαθέτει τη δωρεάν, online λύση καταπολέμησης εχθρικού λογισμικού Panda ActiveScan, στην διεύθυνση http://www.activescan.com . Οι webmasters που επιθυμούν να συμπεριλάβουν το ActiveScan στα Web sites τους μπορούν να αποκτήσουν τον απαιτούμενο HTML κώδικα δωρεάν, από την διεύθυνση http://www.pandasoftware.com/partners/webmasters .

Η Panda Software διανέμει επίσης ένα ηλεκτρονικό ενημερωτικό δελτίο με τίτλο Virus Alerts (στα Αγγλικά και Ισπανικά), μέσω του οποίου προειδοποιεί τους χρήστες για την εμφάνιση νέων μορφών εχθρικού κώδικα. Εάν θέλετε να λαμβάνετε το Virus Alerts, επισκεφτείτε το Web site της Panda Software ( http://www.pandasoftware.com/about/subions/ ) και συμπληρώστε την κατάλληλη φόρμα.

Για περισσότερες πληροφορίες σχετικά μ’ αυτές και άλλες απειλές, ανατρέξτε στην Εγκυκλοπαίδεια της Panda Software.

Το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs)

Από το 1990, αποστολή του PandaLabs είναι η ανάλυση των νέων απειλών το συντομότερο δυνατό, ώστε να διασφαλίζεται η προστασία των πελατών της Panda Software. Πολλαπλές ομάδες στελεχών ειδικευμένων σε διαφορετικούς τύπους εχθρικού λογισμικού (ιούς, worms, Δούρειους Ίππους, spyware, phishing, spam, κ.α.) εργάζονται επί 24-ώρου βάσεως, ώστε να παρέχουν παγκόσμια κάλυψη. Για τον σκοπό αυτό υποστηρίζονται επίσης από τις Τεχνολογίες TruPrevent, ένα πραγματικά παγκόσμιο σύστημα προειδοποίησης το οποίο απαρτίζεται από «αισθητήρες» τοποθετημένους σε στρατηγικά σημεία, οι οποίοι μπλοκάρουν τις νέες απειλές και τις στέλνουν στο PandaLabs για σχολαστική ανάλυση. Σύμφωνα με τον έγκυρο φορέα AV-Test.org, το PandaLabs είναι το ταχύτερο στον τομέα του που παρέχει ολοκληρωμένες ενημερώσεις (για περισσότερες πληροφορίες, ανατρέξτε στην ιστοσελίδα www.pandasoftware.com/pandalabs.asp ).