Εβδομαδιαία Αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών

Στην αναφορά αυτής της εβδομάδας θα εξετάσουμε τρία worms - τα Mytob.CX, Mytob.CU και Sdbot.DKE - δύο Δούρειους Ίππους - τους Whiter.F και Kelvir.AS - το πρόβλημα ασφάλειας MS05-024 και ένα εργαλείο για χάκερ με όνομα QuickKeylog.

Τα worms Mytob.CX και Mytob.CU είναι δύο μέλη της οικογένειας Mytob, από την οποία είδαμε πάνω από 100 παραλλαγές τους τελευταίους μήνες. Αυτές οι δύο μορφές εχθρικού κώδικα είναι worms που εξαπλώνονται μέσω email και επιδεικνύουν συμπεριφορά "πίσω πόρτας" (backdoor). Αφού εγκατασταθούν, συνδέονται σ έναν IRC server και αναμένουν οδηγίες για την εκτέλεση συγκεκριμένων ενεργειών στους επηρεαζόμενους υπολογιστές, όπως διαγραφή, μεταφορά ή εκτέλεση αρχείων. Όμοια με άλλα μέλη της οικογένειας Mytob, αυτά τα worms τερματίζουν τις εκτελούμενες διεργασίες που ανήκουν σε συγκεκριμένες εφαρμογές ασφάλειας και εμποδίζουν την πρόσβαση των χρηστών σε διάφορα Web sites τα οποία σχετίζονται με την ασφάλεια συστημάτων πληροφορικής.

Το Sdbot.DKE είναι ένα worm με χαρακτηριστικά "πίσω πόρτας" το οποίο, όπως συμβαίνει με τις περισσότερες μορφές εχθρικού λογισμικού τύπου bot, επιτρέπει σε χάκερ να αποκτήσουν εξ αποστάσεως πρόσβαση στον επηρεαζόμενο υπολογιστή - μέσω του δικού του IRC server σ αυτή την περίπτωση. Το Sdbot.DKE δέχεται εξ αποστάσεως εντολές π.χ. για την εκκίνηση επιθέσεων άρνησης εξυπηρέτησης (denial of service [DoS] attacks) εναντίον συγκεκριμένων δικτυακών τόπων. Για να εξαπλωθεί, το Sdbot.DKE χρησιμοποιεί γνωστά προβλήματα ασφάλειας των λειτουργικών συστημάτων, μη-προστατευόμενους κοινόχρηστους πόρους, καθώς και πόρους που προστατεύονται με "αδύναμους" κωδικούς πρόσβασης. Αυτό το worm μεταδίδεται επίσης μέσω του Δούρειου Ίππου Kelvir.AS.

Το Kelvir.AS είναι ένας Δούρειος Ίππος ο οποίος εξαπλώνεται μέσω προγραμμάτων διακίνησης άμεσων μηνυμάτων (instant messaging), στέλνοντας ένα μήνυμα προς όλες τις διευθύνσεις που βρίσκει στην Λίστα Επαφών (Contacts) του επηρεαζόμενου χρήστη. Αυτό το μήνυμα περιλαμβάνει μία σύνδεση η οποία οδηγεί σε μία ιστοσελίδα από την οποία μεταφέρεται ένα αντίγραφο του worm Sdbot.DKE στο επηρεαζόμενο σύστημα. Το Kelvir.AS δεν διαθέτει δικά του μέσα εξάπλωσης, αλλά χρειάζεται την παρέμβαση τρίτων για να φτάσει σε υπολογιστές. Τα μέσα εξάπλωσης που χρησιμοποιεί είναι δισκέτες, CD-ROM, μηνύματα e-mail με συνημμένα αρχεία, μεταφορές αρχείων από το Internet, FTP, κανάλια IRC, δίκτυα κοινής χρήσης αρχείων (P2P), κ.α.

Αν και περιλαμβάνεται σ αυτή την αναφορά, το QuickKeylog δεν είναι μία μορφή εχθρικού κώδικα αλλά ένα εργαλείο για το οποίο υπάρχουν αναφορές ότι χρησιμοποιείται για παράνομους σκοπούς. Το QuickKeylog είναι ένα καθ όλα νόμιμο και χρήσιμο εργαλείο του οποίου η λειτουργικότητα έγινε αντικείμενο εκμετάλλευσης από χάκερ. Καταγράφει τις πληκτρολογήσεις του χρήστη και τις αποθηκεύει σ ένα κρυφό και κρυπτογραφημένο αρχείο το οποίο είναι προσπελάσιμο μόνο από τον χρήστη που το εγκατέστησε το QuickKeylog στο σύστημα.

Ο πόλεμος που έχουν ξεκινήσει οι δημιουργοί εχθρικού λογισμικού εναντίον του λογισμικού και η πειρατεία της μουσικής συνεχίζεται με το Whiter.F, έναν εξαιρετικά επικίνδυνο Δούρειο Ίππο ο οποίος διαγράφει όλα τα αρχεία από τον σκληρό δίσκο του επηρεαζόμενου υπολογιστή. Αφού εγκατασταθεί σ έναν υπολογιστή, το Whiter.F δημιουργεί ένα αρχείο κειμένου με όνομα WXP στον αρχικό κατάλογο (root) του υπολογιστή-στόχου και αντικαθιστά όλα τα αρχεία που υπάρχουν στον σκληρό δίσκο με το αρχείο που δημιούργησε. Αυτό το αρχείο περιέχει την φράση You did a piracy, you deserve it (σε ελεύθερη απόδοση: έκανες πειρατεία, το αξίζεις). Τέλος, αυτός ο Δούρειος Ίππος εξαλείφει ολοκληρωτικά κάθε ίχνος των αρχείων του χρήστη από τον σκληρό δίσκο, έτσι ώστε να μην είναι δυνατή η ανάκτησή τους ούτε καν με τη χρήση ειδικών εργαλείων (συγκεκριμένα, τα αρχεία που ανακτώνται είναι αντίγραφα του WXP αρχείου).

Θα ολοκληρώσουμε αυτή την αναφορά με το MS05-024, ένα σημαντικό πρόβλημα ασφάλειας το οποίο επηρεάζει υπολογιστές με τα Windows 2000 και επιτρέπει σε χάκερ να αναλάβουν εξ αποστάσεως τον έλεγχο του επηρεαζόμενου υπολογιστή με το επίπεδο δικαιωμάτων του χρήστη ο οποίος συνδέθηκε αρχικά στο σύστημα. Το εχθρικό λογισμικό που εκμεταλλεύεται το πρόβλημα ασφάλειας MS05-024 χρησιμοποιεί ένα αρχείο και πείθει τους χρήστες να συνδεθούν στον φάκελο που το περιέχει και να το εμφανίσουν σε προεπισκόπηση στον Explorer (Εξερεύνηση) των Windows. Η Panda Software συνιστά στους χρήστες να ενημερώσουν το λειτουργικό σύστημα που χρησιμοποιούν με τις κατάλληλες διορθώσεις για να αποφύγουν πιθανές μολύνσεις.

Για περισσότερες πληροφορίες σχετικά μ αυτούς και άλλους ιούς, επισκεφτείτε την Εγκυκλοπαίδεια της Panda Software για τους ιούς (Virus Encyclopedia).

Το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs) λειτουργεί επί 24-ώρου βάσεως, αναζητώντας νέους ιούς και άλλες απειλές για τους υπολογιστές, οι οποίες μπορεί να παρουσιαστούν σε οποιαδήποτε γωνιά του κόσμου, ή στέλνονται από χρήστες οι οποίοι έχουν εντοπίσει "ύποπτα" αρχεία. Οι ειδικοί του Εργαστηρίου εξετάζουν εξονυχιστικά κάθε μορφή εχθρικού κώδικα, αμέσως μόλις την λάβουν, και αναλύουν τα χαρακτηριστικά και την συμπεριφορά της. Αμέσως μετά αναπτύσσουν τις κατάλληλες ρουτίνες ανίχνευσης εξάλειψης, οι οποίες διανέμονται επί καθημερινής βάσεως στους χρήστες προϊόντων antivirus της Panda Software. Σαν αποτέλεσμα, οι λύσεις της Panda Software είναι πάντα έτοιμες να αποκρούσουν οποιαδήποτε απειλή, όσο πρόσφατη κι αν είναι.

Για περισσότερες πληροφορίες: http://www.pandasoftware.com/virus_info