Εβδομαδιαία αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών

Την εβδομάδα που μας πέρασε, μονοπώλησαν το ενδιαφέρον οι ακόλουθες μορφές εχθρικού λογισμικού:
Το worm με όνομα SdBot.EXG, ο Δούρειος Ίππος Cimuz.X, δύο εργαλεία για χάκερ, τα GuardMon και SpyEx

Το SdBot.EXG είναι ένα worm το οποίο εξαπλώνεται εκμεταλλευόμενο τα ακόλουθα πέντε προβλήματα ασφάλειας λογισμικού (ο αριθμός στις παρενθέσεις αντιστοιχεί στο δελτίο της Microsoft που αναφέρεται στο κάθε πρόβλημα ασφάλειας): υπερχείλιση buffer (buffer overflow) στο SQL Server 2000 (MS02-039), πρόβλημα ασφάλειας στην Υπηρεσία Workstation (MS03-049), LSASS (MS04-011), RPC-DCOM (MS04-012) και πρόβλημα στην υπηρεσία Plug and Play των Windows που επιτρέπει την εκτέλεση κώδικα εξ αποστάσεως (MS05-039). Για την αποστολή του εαυτού του, αυτό το worm έχει επίσης δικούς του FTP και TFTP servers.

Το Sdbot.EXG συνδέεται σε συγκεκριμένους IRC servers από τους οποίους μπορεί να λαμβάνει εντολές, π.χ. για την ενημέρωσή του, για τη μεταφορά και εκτέλεση αρχείων, την προσθήκη ή διαγραφή πόρων από μία λίστα κοινόχρηστων πόρων, κ.α.

Το Cimuz.X είναι ένας Δούρειος Ίππος ο οποίος, όταν εγκαθίσταται σ έναν υπολογιστή, εκτελεί μία σειρά ενεργειών συμπεριλαμβανομένων των ακόλουθων:

- Ανοίγει μία τυχαία επιλεγμένη θύρα επικοινωνίας, καθιστώντας εφικτή την χρήση του υπολογιστή σαν HTTP proxy.

- Εκτελεί PHP s από αρκετές διευθύνσεις web, για να πληροφορήσει τον δημιουργό του ότι έχει μολύνει το PC.

- Για να αποφεύγει την ανίχνευσή του από firewalls, "εμφυτεύει" τη διεργασία του σε διεργασίες άλλων προγραμμάτων για τα οποία δεν υπάρχουν περιορισμοί πρόσβασης στο Internet. Επίσης, προσθέτει τη διεργασία του στην λίστα των εγκεκριμένων εφαρμογών του firewall των Windows XP.

- Δημιουργεί αρκετές καταχωρίσεις στο Registry των Windows: π.χ. για να εκτελείται κάθε φορά που εκκινούν τα Windows, για να εξακριβώνει εάν ο υπολογιστής είχε μολυνθεί και στο παρελθόν, κ.α.

Το Cimuz.X χρησιμοποιεί αρκετά DLL αρχεία και άλλο κώδικα, εκτός από τον δικό του. Κατά πάσα πιθανότητα ο δημιουργός του χρησιμοποίησε συστατικά από άλλους Δούρειους Ίππους.

Η επόμενη μορφή εχθρικού λογισμικού που θα εξετάσουμε είναι το GuardMon, ένα εργαλείο για χάκερ το οποίο καταγράφει τις πληκτρολογήσεις του χρήστη. Μπορεί να χρησιμοποιείται για την υποκλοπή κωδικών πρόσβασης και άλλων εμπιστευτικών δεδομένων, και για τον λόγο αυτό αποτελεί σοβαρή απειλή.

Το GuardMon δημιουργεί το αρχείο GPS.DLL στον μολυσμένο υπολογιστή, μέσω του οποίου καθίσταται διαθέσιμη στο σύστημα η συνάρτηση WSPStartup. Η συνάρτηση αυτή ελέγχει τη διαδικασία παρακολούθησης των πληκτρολογήσεων.

Θα ολοκληρώσουμε αυτή την αναφορά με το SpyEx, ένα εργαλείο για χάκερ το οποίο παρακολουθεί τις πληκτρολογήσεις του χρήστη, τις εφαρμογές που χρησιμοποιεί στο PC του και τη δραστηριότητά του στο Internet. Οι πληροφορίες που συγκεντρώνει στέλνονται κατόπιν μέσω email σε μία διεύθυνση η οποία καθορίζεται κατά την εγκατάσταση.

Για περισσότερες πληροφορίες σχετικά μ αυτές και άλλες απειλές των υπολογιστών, επισκεφτείτε την Εγκυκλοπαίδεια της Panda Software.