Εβδομαδιαία Αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών

Στην αναφορά αυτής της εβδομάδας θα εξετάσουμε πέντε προβλήματα ασφάλειας που έχουν εντοπιστεί σε διάφορα προϊόντα της Microsoft, καθώς και νέες παραλλαγές των worms Mytob, Gaobot και Kelvir.

Τα πέντε προβλήματα ασφάλειας έχουν αξιολογηθεί σαν ‘κρίσιμης σημασίας’ και επηρεάζουν όχι μόνο τα λειτουργικά συστήματα Windows, αλλά επίσης και άλλες εφαρμογές όπως οι Internet Explorer, Exchange Server, MSN Messenger, Word, Works και Office. Εάν δεν εγκατασταθούν οι κατάλληλες διορθώσεις στους επηρεαζόμενους υπολογιστές, ένας εισβολέας θα μπορούσε εύκολα να αποκτήσει τον έλεγχό τους εξ αποστάσεως.

Στον τομέα του εχθρικού κώδικα, μπορούμε να επισημάνουμε την αυξανόμενη παρουσία των worms Mytob. Τα worms Mytob συνδέονται σ έναν IRC server και αναμένουν εντολές για τον εξ αποστάσεως έλεγχο του επηρεαζόμενου συστήματος, όπως π.χ. εντολές διαγραφής, μεταφοράς ή εκτέλεσης αρχείων. Επιπλέον, ορισμένες παραλλαγές του worm εμποδίζουν την πρόσβαση των χρηστών στους δικτυακούς τόπους που ανήκουν σε συγκεκριμένες εταιρείες ανάπτυξης λύσεων antivirus και ασφάλειας συστημάτων Πληροφορικής. Εξαπλώνονται μέσω email, μέσω Internet - εκμεταλλευόμενα το γνωστό πρόβλημα ασφάλειας LSASS - καθώς και σε δίκτυα που προστατεύονται με "αδύναμους" κωδικούς πρόσβασης.

Παρ όλα αυτά, οι τεχνολογίες προληπτικής προστασίας TruPreventTM κατάφεραν να μπλοκάρουν επιτυχώς όλες αυτές τις παραλλαγές του worm Mytob χωρίς να γνωρίζουν εκ των προτέρων την ταυτότητά τους. Συνεπώς, οι χρήστες που έχουν εγκαταστήσει αυτές τις τεχνολογίες στα συστήματά τους προστατεύονταν από την πρώτη κιόλας στιγμή που εμφανίστηκαν αυτά τα worms.

Αξίζει επίσης να επισημάνουμε την εμφάνιση του Gaobot.EYP. Πρόκειται για ένα worm το οποίο ανοίγει επίσης μία "πίσω πόρτα" (backdoor) στους υπολογιστές που επηρεάζει, επιτρέποντας σ έναν εισβολέα να αναλάβει τον έλεγχό τους εξ αποστάσεως. Ο εισβολέας έχει τη δυνατότητα να κάνει διάφορα επικίνδυνα πράγματα στα επηρεαζόμενα συστήματα, όπως εκτέλεση εντολών, μεταφορά και εκτέλεση αρχείων, καταγραφή των πληκτρολογήσεων των χρηστών, εύρεση των χαρακτηριστικών του υπολογιστή, έναρξη επιθέσεων "άρνησης εξυπηρέτησης" (denial of service attacks), κ.α.

Το Gaobot.EYP τερματίζει τις διεργασίες που εκτελούνται στο σύστημα και ανήκουν σε διάφορα εργαλεία ασφάλειας, όπως π.χ. προγράμματα antivirus και firewalls, αφήνοντας τον υπολογιστή ευάλωτο σε επιθέσεις από άλλες μορφές εχθρικού λογισμικού. Τερματίζει επίσης τις διεργασίες που ανήκουν σε άλλα worms.

Για την εξάπλωσή του, το Gaobot.EYP χρησιμοποιεί πολλές μεθόδους:

- Αντιγράφει τον εαυτό του στους κοινόχρηστους πόρους δικτύων που καταφέρνει να προσπελάσει.

- Εκμεταλλεύεται τα ακόλουθα προβλήματα ασφάλειας για να εξαπλώνεται μέσω Internet: LSASS, RPC DCOM, WINS (υπερχείλιση buffer στην υπηρεσία "workstation").

- Μπορεί να εισβάλλει σε υπολογιστές με το λογισμικό SQL Server, στους οποίους ο λογαριασμός SA (System Administrator [διαχειριστής συστήματος]) έχει κενό κωδικό πρόσβασης.

Τέλος, θα εξετάσουμε το worm Kelvir.L. Αυτό το worm εξαπλώνεται μέσω του MSN Messenger, στέλνοντας ένα μήνυμα σε όλες τις επαφές που βρίσκει. Το μήνυμα περιέχει το κείμενο “its you!”, το οποίο δείχνει σε μία διεύθυνση URL που ανήκει στο domain hydr0.net.

Εάν ο χρήστης κάνει κλικ πάνω σ αυτή την σύνδεση, μεταφέρεται και εκτελείται στον υπολογιστή του ένα συμπιεσμένο αυτο-εκτελούμενο αρχείο με όνομα Trj/MultiDroρper.ZL. Το αρχείο αυτό περιέχει τα αρχεία “uncanny.exe” και “advbot.exe”, τα οποία είναι αντίγραφα των worm Kelvir.L και Gaobot.EYX, αντίστοιχα.

Για περισσότερες πληροφορίες σχετικά μ αυτές και άλλες μορφές απειλών, ανατρέξτε στην Εγκυκλοπαίδεια της Panda Software για τους Ιούς (Virus Encyclopedia): http://www.pandasoftware.com/virus_info/encyclopedia

- Το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs) λειτουργεί επί 24-ώρου βάσεως, αναζητώντας νέους ιούς και άλλες απειλές για τους υπολογιστές, οι οποίες μπορεί να παρουσιαστούν σε οποιαδήποτε γωνιά του κόσμου, ή στέλνονται από χρήστες οι οποίοι έχουν εντοπίσει "ύποπτα" αρχεία. Οι ειδικοί του Εργαστηρίου εξετάζουν εξονυχιστικά κάθε μορφή εχθρικού κώδικα, αμέσως μόλις την λάβουν, και αναλύουν τα χαρακτηριστικά και την συμπεριφορά της. Αμέσως μετά αναπτύσσουν τις κατάλληλες ρουτίνες ανίχνευσης και εξουδετέρωσης, οι οποίες διανέμονται επί καθημερινής βάσεως στους χρήστες προϊόντων antivirus της Panda Software. Σαν αποτέλεσμα, οι λύσεις της Panda Software είναι πάντα έτοιμες να αποκρούσουν οποιαδήποτε απειλή, όσο πρόσφατη κι αν είναι.

Για περισσότερες πληροφορίες: http://www.pandasoftware.com/virus_info