Εβδομαδιαία αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών

Την εβδομάδα που μας πέρασε, μονοπώλησαν το ενδιαφέρον οι ακόλουθες μορφές εχθρικού λογισμικού:
• Τρία worms - P2load.A, Mytob.JN και Bagle.EI
• Ένα πρόγραμμα spyware - Spytrooper
• Τρεις Δούρειοι Ίπποι - Fantibag.A, Banker.APM και Mitglieder.EV
• Ένα εργαλείο για χάκερ - Keyspy.B

Το P2load.A είναι ένα worm το οποίο εξαπλώνεται μέσω των προγραμμάτων κοινής χρήσης αρχείων (P2P) Shareaza και Imesh. Εκτελεί αρκετές ενέργειες στους υπολογιστές που μολύνει, με σημαντικότερη την αλλοίωση του αρχείου HOSTS ώστε όταν οι χρήστες προσπελάζουν το Google να ανακατευθύνονται σε μία σελίδα-απομίμηση της γνωστής μηχανής αναζήτησης, η οποία δεν έχει καμία σχέση με το Google και στεγάζεται σ έναν server στην Γερμανία. Η πλαστή σελίδα είναι τέλεια απομίμηση της σελίδας του Google - μάλιστα, περιλαμβάνει τις 17 γλώσσες που υποστηρίζει αυτή η μηχανή αναζήτησης.

Όταν οι χρήστες διεξάγουν μία αναζήτηση, τα αποτελέσματά της παρουσιάζονται σωστά, ή εμφανίζονται με ελαφρώς διαφορετική σειρά απ ότι στο Google. Αυτό που αλλάζει όμως είναι οι συνδέσεις των διαφημιζόμενων, οι οποίες εμφανίζονται συνήθως στην κορυφή της σελίδας αποτελεσμάτων και αντιστοιχούν στις εταιρείες που έχουν πληρώσει γι αυτή την υπηρεσία. Για συγκεκριμένες αναζητήσεις, οι χρήστες των οποίων οι υπολογιστές έχουν μολυνθεί από το P2load θα βλέπουν άλλες συνδέσεις, καθορισμένες από το δημιουργό αυτού του worm, οι οποίες έχουν ως αποτέλεσμα αυξημένη κυκλοφορία σ αυτά τα websites.

Το δεύτερο worm που θα μας απασχολήσει σ αυτή την αναφορά είναι το Mytob.JN. Εξαπλώνεται μέσω email, χρησιμοποιώντας ένα μήνυμα με μεταβλητά χαρακτηριστικά. Το Mytob.JN ανοίγει μία θύρα επικοινωνίας TCP μέσω της οποίας συνδέεται σ έναν server και λαμβάνει εξ αποστάσεως εντολές τις οποίες εκτελεί στο μολυσμένο PC. Επιπρόσθετα, αυτό το worm τερματίζει τις διεργασίες που ανήκουν σε διάφορα εργαλεία ασφάλειας, όπως προγράμματα antivirus και firewalls, καθώς και διεργασίες που ανήκουν σε άλλες μορφές εχθρικού λογισμικού. Επιπλέον, εμποδίζει την πρόσβαση των χρηστών σε συγκεκριμένες ιστοσελίδες, και ειδικότερα σ αυτές που ανήκουν σε εταιρείες κατασκευής λογισμικού antivirus.

Το τρίτο και τελευταίο worm αυτής της αναφοράς είναι το Bagle.EI, το οποίο στέλνει ένα αντίγραφο μιας παραλλαγής του Mitglieder σε διευθύνσεις email που συλλέγει από συγκεκριμένα websites - συγκεκριμένα, σε όλες τις διευθύνσεις που δεν περιλαμβάνουν συγκεκριμένα αλφαριθμητικά (ακολουθίες χαρακτήρων). Αυτή η μορφή εχθρικού λογισμικού εμποδίζει επίσης την εκτέλεση ορισμένων παραλλαγών του Netsky κατά την εκκίνηση των Windows.

Η επόμενη μορφή εχθρικού λογισμικού που θα εξετάσουμε ονομάζεται Spytrooper. Πρόκειται για ένα πρόγραμμα adware το οποίο μεταφέρεται αυτόματα από websites με περιεχόμενο "μόνο για ενηλίκους" ή σελίδες με πειρατικό λογισμικό. Μπορεί επίσης να μεταφέρεται αφού εμφανιστεί ένα παράθυρο το οποίο προειδοποιεί τον χρήστη για την ύπαρξη spyware στον υπολογιστή του, ή εάν οι χρήστες ζητήσουν τη μεταφορά του από μία συγκεκριμένη ιστοσελίδα.

Το Spytrooper προειδοποιεί τους χρήστες ότι οι υπολογιστές τους έχουν μολυνθεί από διάφορες απειλές - οι οποίες στην πραγματικότητα δεν υπάρχουν - και τους ανακοινώνει ότι οι απειλές αυτές μπορούν να εξουδετερωθούν μόνο εάν αγοράσουν την πλήρη έκδοση του προγράμματος. Αφού ο χρήστης αγοράσει και δηλώσει το Spytrooper, οι υποτιθέμενες απειλές δεν ανιχνεύονται πλέον και ο υπολογιστής του θεωρείται ‘καθαρός’.

Ο πρώτος Δούρειος Ίππος που θα εξετάσουμε σ αυτή την αναφορά ονομάζεται Fantibag.A. Το κύριο χαρακτηριστικό του είναι ότι εμποδίζει την πρόσβαση των χρηστών σε μία σειρά από websites, εκ των οποίων τα περισσότερα ανήκουν σε εταιρείες κατασκευής λογισμικού antivirus. Αυτό το επιτυγχάνει χρησιμοποιώντας μία μέθοδο βασιζόμενη σε συναρτήσεις του API για την υπηρεσία RRAS (Routing and Remote Access Service), οι οποίες παρέχουν δυνατότητα φιλτραρίσματος πακέτων (packet filtering).

Το Banker.APM είναι ένας Δούρειος Ίππος δημιουργημένος με στόχο την κλοπή εμπιστευτικών πληροφοριών, όπως π.χ. κωδικών πρόσβασης, τις οποίες και στέλνει στον δημιουργό του. Για τον σκοπό αυτό επιχειρεί να ανακατευθύνει τα websites διάφορων τραπεζικών οργανισμών σ έναν server ο οποίος στεγάζει παραποιημένες ιστοσελίδες - έτσι, οι χρήστες εισάγουν τα προσωπικά τους στοιχεία σ αυτές τις σελίδες αντί για τις αυθεντικές.

Ο τρίτος Δούρειος Ίππος που θα μας απασχολήσει σ αυτή την αναφορά ονομάζεται Mitglieder.EV και "επιτίθεται" σε συγκεκριμένα εργαλεία ασφάλειας, όπως προγράμματα antivirus και firewalls. Συγκεκριμένα, διαγράφει σημαντικά αρχεία από το σύστημα, καθώς και καταχωρίσεις από το Registry των Windows (οι οποίες επιτρέπουν την αυτόματη εκτέλεση εφαρμογών), μπλοκάρει διάφορες υπηρεσίες και τερματίζει τις διεργασίες που σχετίζονται με τα προγράμματα που παρέχουν λειτουργίες ενημέρωσης των antivirus.

Θα ολοκληρώσουμε αυτή την αναφορά με το Keyspy.B, ένα εργαλείο το οποίο καταγράφει τις πληκτρολογήσεις του χρήστη και τις στέλνει μέσω email. Μπορεί επίσης να χρησιμοποιηθεί για την εκτέλεση, ή το μπλοκάρισμα της εκτέλεσης, οποιουδήποτε προγράμματος, καθώς και για την καταγραφή των ιστοσελίδων που επισκέπτεται ο χρήστης.

Για περισσότερες πληροφορίες σχετικά μ αυτές και άλλες απειλές των υπολογιστών, επισκεφτείτε την Εγκυκλοπαίδεια της Panda Software.