Εβδομαδιαία Αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών

Στην αναφορά αυτής της εβδομάδας θα εξετάσουμε τα worms Gaobot.GLV και Oscarbot.F, καθώς και το Δούρειο Ίππο Sober.W.

Το Sober.W είναι ένας Δούρειος Ίππος του οποίου ο μοναδικός στόχος φαίνεται να είναι η μαζική αποστολή μηνυμάτων με περιεχόμενο το οποίο σχετίζεται με το κίνημα της Άκρας Δεξιάς στην Γερμανία και αναφέρεται στο Δεύτερο Παγκόσμιο πόλεμο επ ευκαιρία της εξηκοστής επετείου από την λήξη του, η οποία γιορτάστηκε πρόσφατα. Όπως συμβαίνει συνήθως μ αυτή την κατηγορία εχθρικού λογισμικού, το Sober.W δεν μπορεί να εξαπλωθεί μόνο του αλλά απαιτεί χειροκίνητη παρέμβαση για τη διανομή του μέσω διάφορων καναλιών. Αφού εγκατασταθεί, το Sober.W αρχίζει να συλλέγει διευθύνσεις email από τον επηρεαζόμενο υπολογιστή και τις στέλνει, με τυχαίο τρόπο, σε μία από τις 30 ηλεκτρονικές διευθύνσεις που περιλαμβάνει στον κώδικά του. Επιπρόσθετα, αυτός ο Δούρειος Ίππος τροποποιεί αρκετά κλειδιά του Registry για να διασφαλίσει ότι θα εκτελείται κάθε φορά που εκκινεί το σύστημα. Είναι σχεδιασμένος ώστε να σταματήσει να στέλνει spam στις 23 Μαΐου, και κατόπιν θ αρχίσει να μεταφέρει αρχεία από μία σειρά διευθύνσεων URL οι οποίες είναι ενσωματωμένες στον κώδικά του.

Το Oscarbot.F είναι ένα worm με χαρακτηριστικά "πίσω πόρτας", σχεδιασμένο ώστε να εξαπλώνεται μέσω του AOL Instant Messenger (AIM), ενός δημοφιλούς προγράμματος διακίνησης άμεσων μηνυμάτων, στέλνοντας μηνύματα σε όλες τις διευθύνσεις που βρίσκει στην Λίστα Επαφών (Contact List). Αυτά τα μηνύματα περιέχουν μία διεύθυνση URL και εάν την προσπελάσει ο χρήστης, μεταφέρεται ένα αντίγραφο αυτού του worm ή κάποιας άλλης μορφής εχθρικού λογισμικού στον υπολογιστή του. Υιοθετώντας την συνήθη συμπεριφορά των bots, αφού εγκατασταθεί σ έναν υπολογιστή, το Oscarbot.F συνδέεται σ έναν IRC server και αναμένει εντολές από έναν απομακρυσμένο χρήστη για τη μεταφορά και εκτέλεση αρχείων στον επηρεαζόμενο υπολογιστή, την εξάπλωσή του μέσω της εφαρμογής AIM, κ.α. Τέλος, αυτό το worm τροποποιεί συγκεκριμένα κλειδιά του Registry για να διασφαλίσει ότι θα εκτελείται κάθε φορά που εκκινεί το σύστημα.

Ο κύριος στόχος του Gaobot.GLV είναι ο τερματισμός των διεργασιών που ανήκουν σε αρκετά εργαλεία ασφάλειας, όπως προγράμματα antivirus και firewalls, η παρεμπόδιση της πρόσβασης των χρηστών σε συγκεκριμένες ιστοσελίδες που ανήκουν κυρίως σε εταιρείες κατασκευής λογισμικού antivirus και ανάπτυξης λύσεων ασφάλειας για υπολογιστές (τροποποιώντας το αρχείο HOSTS του επηρεαζόμενου υπολογιστή), καθώς και η εγκατάσταση ενός TFTP server. Διαθέτει επίσης ένα εργαλείο ειδικά σχεδιασμένο ώστε να κρύβει τις ενέργειες που εκτελεί στον επηρεαζόμενο υπολογιστή, το οποίο όμως δεν λειτουργεί σωστά σε συστήματα με τα Windows XP.

Το Gaobot.GLV εξαπλώνεται μέσω Internet και κοινόχρηστων πόρων δικτύων. Στην πρώτη περίπτωση, επιχειρεί να εκμεταλλευτεί τα προβλήματα ασφάλειας LSASS, RPC DCOM, WINS, Buffer Overrun στην Υπηρεσία Workstation και Buffer Overrun στην Υπηρεσία Resolution του SQL Server 2000. Προσπαθεί επίσης να προσπελάσει υπολογιστές όπου είναι εγκατεστημένο το λογισμικό SQL Server με κενούς κωδικούς πρόσβασης. Στην περίπτωση των κοινόχρηστων πόρων δικτύων, το Gaobot.GLV επιχειρεί να εκμεταλλευτεί "αδύναμους" κωδικούς πρόσβασης. Εάν επιτύχει, το Gaobot.GLV δημιουργεί αντίγραφα του εαυτού του στους κοινόχρηστους πόρους.

Για την αποφυγή μολύνσεων από αυτές ή άλλες μορφές εχθρικού κώδικα, η Panda Software συνιστά σε όλους τους χρήστες να ενημερώνουν τα προγράμματα antivirus που χρησιμοποιούν. Η εταιρεία παρέχει σε όλους τους πελάτες της τις κατάλληλες ενημερώσεις για την ανίχνευση και εξουδετέρωση αυτών των μορφών εχθρικού κώδικα.

Θα βρείτε περισσότερες πληροφορίες γι αυτή και άλλες μορφές εχθρικού κώδικα στην Εγκυκλοπαίδεια της Panda Software για τους Ιούς.

Το Εργαστήριο Καταπολέμησης Ιών της Panda Software

Το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs) λειτουργεί επί 24-ώρου βάσεως, αναζητώντας νέους ιούς και άλλες απειλές για τους υπολογιστές, οι οποίες μπορεί να παρουσιαστούν σε οποιαδήποτε γωνιά του κόσμου, ή στέλνονται από χρήστες οι οποίοι έχουν εντοπίσει "ύποπτα" αρχεία. Οι ειδικοί του Εργαστηρίου εξετάζουν εξονυχιστικά κάθε μορφή εχθρικού κώδικα, αμέσως μόλις την λάβουν, και αναλύουν τα χαρακτηριστικά και την συμπεριφορά της. Αμέσως μετά αναπτύσσουν τις κατάλληλες ρουτίνες ανίχνευσης εξάλειψης, οι οποίες διανέμονται επί καθημερινής βάσεως στους χρήστες προϊόντων antivirus της Panda Software. Σαν αποτέλεσμα, οι λύσεις της Panda Software είναι πάντα έτοιμες να αποκρούσουν οποιαδήποτε απειλή, όσο πρόσφατη κι αν είναι.

Για περισσότερες πληροφορίες: http://www.pandasoftware.com/virus_info