Εβδομαδιαία αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών
Ασφάλεια - 01/10/2005Την εβδομάδα που μας πέρασε, μονοπώλησαν το ενδιαφέρον οι ακόλουθες μορφές εχθρικού λογισμικού:
- Το worm Mepe.A
- Δύο Δούρειοι Ίπποι, οι Mitglieder.EW και Mitglieder.FB
Το Mepe.A είναι ένα worm το οποίο προκάλεσε σημαντικό αριθμό μολύνσεων στις 20 και 21 Σεπτεμβρίου, κυρίως στην Λατινική Αμερική, κατακτώντας την πρώτη θέση στην κατάταξη των μολύνσεων για αρκετές ώρες. Για να εξαπλωθεί, αυτό το worm αναζητά ανοιχτά παράθυρα (συνήθως εφαρμογές διακίνησης άμεσων μηνυμάτων [instant messaging]) με τον τίτλο “Conversacion” (συνομιλία). Όταν οι χρήστες των μολυσμένων υπολογιστών έχουν ανοιχτό ένα τέτοιο παράθυρο, το worm τους στέλνει μία πρόσκληση στα Ισπανικά η οποία περιλαμβάνει μία σύνδεση προς ένα site από το οποίο μπορούν - υποτίθεται - να μεταφέρουν μία ωραία κάρτα.
Στην πραγματικότητα όμως αυτή είναι ο κώδικας του ιού, ο οποίος, όταν εκτελείται, εμφανίζει ένα μήνυμα σφάλματος αν και συνεχίζει τις ενέργειές του στον υπολογιστή. Τα περιστατικά μολύνσεων από αυτή τη μορφή εχθρικού κώδικα μειώθηκαν δραστικά πολύ σύντομα, καθώς η εταιρεία παροχής Internet στην οποία ανήκε ο server που στέγαζε το worm απενεργοποίησε το συγκεκριμένο αρχείο αφού ειδοποιήθηκε από το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs).
Οι άλλες δύο μορφές εχθρικού λογισμικού που θα εξετάσουμε σ αυτή την αναφορά είναι τα Mitglieder.EW και Mitglieder.FB. Πρόκειται για δύο Δούρειους Ίππους με παρόμοια δομή, οι οποίοι προκάλεσαν πολυάριθμα περιστατικά τις τελευταίες ημέρες, σαν μέρος του φαινομένου μαζικής διανομής των Bagle και Mitglieder μέσω email. Κύριος στόχος και των δύο είναι η απενεργοποίηση των λύσεων ασφάλειας που είναι εγκατεστημένες στους υπολογιστές των χρηστών, καθιστώντας τους ευάλωτους σε επόμενες επιθέσεις από άλλες μορφές εχθρικού λογισμικού.
Το Mitglieder.EW είναι ένας Δούρειος Ίππος, και σαν τέτοιος δεν διαθέτει "ίδια μέσα" εξάπλωσης. Μπορεί να διανέμεται με χειροκίνητες μεθόδους, ή συμβιώνοντας με άλλες μορφές εχθρικού λογισμικού όπως τα worms Bagle (μία σχέση την οποία συναντάμε συχνά μεταξύ αυτών των δύο κατηγοριών εχθρικού λογισμικού), καθώς και μέσω δικτύων από bots. Αφού φτάσει σ έναν υπολογιστή, ο Δούρειος Ίππος μπλοκάρει τις διεργασίες που είναι υπεύθυνες για την τακτική ενημέρωση αρκετών προγραμμάτων antivirus, καθώς και υπηρεσίες που σχετίζονται με προγράμματα antivirus, firewalls, κ.α.
Για να διασφαλίσει την αδυναμία εκτέλεσης αυτών των εφαρμογών, διαγράφει επίσης από το Registry των Windows τις καταχωρίσεις που περιέχουν στοιχεία για τη διαμόρφωσή τους. Τέλος, όπως συμβαίνει συνήθως με τα μέλη της "οικογένειας" Mitglieder, επιχειρεί να μεταφέρει ένα αρχείο, το OSA6.GIF, από διάφορα websites. Αν και δείχνει σαν μία εικόνα, στην πραγματικότητα το αρχείο αυτό περιέχει εκτελέσιμο κώδικα, και μάλιστα μία παραλλαγή της οικογένειας ιών Fantibag.
Το Mitglieder.FB λειτουργεί με τον ίδιο τρόπο και χρησιμοποιεί τις ίδιες διευθύνσεις για να μεταφέρει το OSA6.GIF. Τερματίζει πολλές διεργασίες και διαγράφει μία σειρά αρχείων από τον σκληρό δίσκο του υπολογιστή, τα περισσότερα από τα οποία σχετίζονται με την ασφάλεια. Στην περίπτωση του Mitglieder.FB, το αρχείο που μεταφέρεται περιέχει μία παραλλαγή του Downloader.
Για την αποτροπή μολύνσεων από αυτές ή άλλες μορφές εχθρικού λογισμικού, η Panda Software συνιστά στους χρήστες να ενημερώνουν τακτικά το λογισμικό ασφάλειας που χρησιμοποιούν. Οι πελάτες της Panda Software έχουν ήδη στη διάθεσή τους τις κατάλληλες ενημερώσεις για την ανίχνευση και εξουδετέρωση των παραπάνω μορφών εχθρικού λογισμικού
Για περισσότερες πληροφορίες σχετικά μ’ αυτές και άλλες απειλές, ανατρέξτε στην Εγκυκλοπαίδεια της Panda Software.
Προσθήκη άρθρου σε: Freestuff | Del.icio.us | | | | ForaCamp (top) |