Virus Radar: Οι 5 μεγαλύτερες ψηφιακές απειλές της τρέχουσας περιόδου

Σύμφωνα με το «Virus radar on-line», το πρότυπο παρατηρητήριο ιών, worms και trojans της εταιρείας ESET, οι 5 μεγαλύτερες -βάσει αριθμού υπολογιστών που έχουν πλήξει- ψηφιακές απειλές της τρέχουσας περιόδου (Ιουλίου 2004), είναι οι ακόλουθες.

Απειλή νο 1: HTML/Phishing.gen, trojan. Επίσης γνωστή ως HTML/Smithfraud.gen, HTML/Tcfbankfraud.gen, HTML/Bankfraud.gen, Phish-BankFraud.eml. Εντοπίστηκε για πρώτη φορά στις 14/4/2005 και έκτοτε έχει πλήξει περισσότερους από 12 εκ. υπολογιστές.

Τρόπος δράσης: Οι χρήστες λαμβάνουν ένα μήνυμα (e-mail), που τους καλεί επιτακτικά να ανοίξουν κάποιον σύνδεσμο (link), προκειμένου να επιβεβαιώσουν την ορθότητα ευαίσθητων προσωπικών τους δεδομένων (λ.χ. κωδικούς πιστωτικών καρτών). Αν οι χρήστες το πράξουν, μεταφέρονται σε ιστοσελίδα «πλαστού» site, όπου τους ζητείται να συμπληρώσουν κάποια φόρμα, με κρίσιμα στοιχεία.

Λεπτομέρειες: Τα sites στα οποία μεταφέρονται οι χρήστες, με μια πρώτη ματιά, θυμίζουν τα επίσημα γνωστών εταιρειών. Μια πιο προσεκτική εξέταση, όμως, φανερώνει ότι το url του site δεν είναι το αυθεντικό και ότι οι χρήστες βρίσκονται σε ένα site που «υποδύεται» κάποιο άλλο, προκειμένου να τους υποκλέψει πολύτιμα στοιχεία. Με τον ίδιο τρόπο, το e-mail φαίνεται ότι προέρχεται από τράπεζες, εταιρείες παροχής πρόσβασης στο Internet (ISP), ινστιτούτα ερευνών, εταιρείες κ.λπ., χωρίς, βέβαια, να ισχύει κάτι τέτοιο. Τα μηνύματα αποστέλλονται μαζικά από επιτήδειους, που στη συνέχεια κερδίζουν χρήματα, εκμεταλλευόμενοι ή εμπορευόμενοι τα στοιχεία που συγκέντρωσαν. Το μήνυμα, όπως επίσης και η ιστοσελίδα δεν εγκαθιστούν κάτι στον υπολογιστή του χρήστη και κατά συνέπεια το άνοιγμα του e-mail και του υπερσυνδέσμου δεν είναι επιβλαβή. Ωστόσο, σε περίπτωση που ο αποδέκτης πειστεί να παραχωρήσει προσωπικά του δεδομένα, τότε οι συνέπειες μπορεί να είναι πολύπλευρα καταστροφικές.

Προφυλάξεις: Οι χρήστες δεν πρέπει για κανένα λόγο να παραχωρούν κρίσιμα δεδομένα τους, μέσω e-mail. Καμιά σοβαρή (μεγάλη) εταιρεία, δεν ζητάει προσωπικά δεδομένα με αυτόν τον τρόπο και σε περίπτωση που λάβουν κάτι σχετικό η διαγραφή του μηνύματος θεωρείται επιβεβλημένη.

Απειλή νο 2: Win32/NetSky.Q, worm. Εντοπίστηκε για πρώτη φορά στις 24/3/2004 και έκτοτε έχει πλήξει περισσότερους από 19 εκ. υπολογιστές.

Τρόπος δράσης: Το συγκεκριμένο worm εξαπλώνεται μέσω ηλεκτρονικού ταχυδρομείου, ομότιμων δικτύων (P2P) ή άλλων δικτύων. Το worm καταφθάνει στον υπολογιστή μέσω ενός επισυναπτόμενου αρχείου, που μπορεί να είναι είτε συμπιεσμένο είτε εκτελέσιμο και μπορεί να φέρει τις καταλήξεις .zip, .doc, .txt, .exe, .scr, .pif.

Λεπτομέρειες: Μερικές από τις φράσεις που μπορεί να φέρει το συνημμένο που περιέχει το worm, είναι και οι, approved, archive, attach, bill, confirm, info02, information, judge, letter, readme κ.ά. Το worm είναι ένα εκτελέσιμο 29 ΚΒ περίπου, το οποίο μετά το άνοιγμά του, αντιγράφει τον εαυτό του σε φάκελο των Windows, χρησιμοποιώντας το όνομα «FVProtect.exe». Ταυτόχρονα, δημιουργεί ένα αρχείο .dll («userconfig9x.dll»), που εκτελείται αυτόματα. Προκειμένου να μπορεί να «τρέχει» κάθε φορά που τα Windows ξεκινούν, δημιουργεί στο μητρώο (registry) την εγγραφή «Norton Antivirus AV» και την τοποθετεί στο κλειδί HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run. Η νέα εγγραφή περιέχει τη σύνδεση με το FVProtect.exe. Στη συνέχεια το worm απομακρύνει περί τις 30 καταχωρήσεις από τη registry και δημιουργεί στο σύστημα τα αρχεία, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp, τα οποία και τρέχουν κάθε φορά που ο χρήστης δημιουργεί κάποιο e-mail. Παράλληλα, ψάχνει τους δίσκους του υπολογιστή για κάθε είδους αρχεία που μπορεί να περιέχουν ηλεκτρονικές διευθύνσεις, τις οποίες και συγκεντρώνει σε άλλα αρχεία, προκειμένου να τις χρησιμοποιήσει για την εξάπλωσή του.

Προφυλάξεις: Οι χρήστες θα πρέπει να επιδεικνύουν ιδιαίτερη προσοχή σε e-mails με συνημμένα, που προέρχονται από άγνωστες πηγές. Το NOD32 ανιχνεύει και καταστρέφει αυτόματα το συγκεκριμένο worm.

Απειλή νο 3: Win32/NetSky.D, worm. Εντοπίστηκε για πρώτη φορά στις 16/3/2004 και έκτοτε έχει πλήξει περισσότερους από 5 εκ. υπολογιστές.

Τρόπος δράσης: Οι χρήστες λαμβάνουν e-mail με ένα συνημμένο αρχείο 17 ΚΒ, που περιέχει το worm. Το αρχείο είναι εκτελέσιμο της μορφής .pif. Αν ανοιχτεί, το worm συγκεντρώνει τις ηλεκτρονικές διευθύνσεις του υπολογιστή και αποστέλλει τον εαυτό του, μαζικά.

Λεπτομέρειες: Το θέμα του e-mail είναι πάντοτε απαντητικό, περιέχει, δηλαδή την ένδειξη «RE:», η οποία συνοδεύεται από φράσεις όπως, your details, your document, your letter, your music, your picture. Στο σώμα του μηνύματος υπάρχει μία φράση που παροτρύνει το χρήστη ν’ ανοίξει το επισυναπτόμενο. Η ονομασία του επισυναπτόμενου, μπορεί να είναι μία από τις παρακάτω: all_document.pif, application.pif, document.pif, document_4351.pif, document_excel.pif, document_full.pif, document_word.pif, message_details.pif, message_part2.pif, mp3music.pif, my_details.pif, your_archive.pif, your_bill.pif, your_details.pif, your_document.pif, your_file.pif, your_letter.pif, your_picture.pif, your_product.pif, your_text.pif, your_website.pif, yours.pif. Όταν εκτελεστεί το αρχείο αυτό, τότε το worm αντιγράφεται σε φάκελο των windows και κατόπιν προστίθεται μία καινούρια εγγραφή στο μητρώο, με σκοπό να εκτελείται αυτόματα. Αφού αφαιρέσει 20 εγγραφές από τη registry, ψάχνει τους δίσκους του υπολογιστή για κάθε είδους αρχεία που μπορεί να περιέχουν ηλεκτρονικές διευθύνσεις.

Προφυλάξεις: Οι χρήστες θα πρέπει να επιδεικνύουν ιδιαίτερη προσοχή σε e-mails με συνημμένα, που προέρχονται από άγνωστες πηγές. Το NOD32 ανιχνεύει και καταστρέφει αυτόματα το συγκεκριμένο worm, από την πρώτη κιόλας στιγμή της εμφάνισής του, χάρις στα advanced heuristics.

Απειλή νο 4: Win32/Zafi.B, worm. Επίσης γνωστό ως W32.Erkez.B. Εντοπίστηκε για πρώτη φορά στις 10/6/2004 και έκτοτε έχει πλήξει περισσότερους από 10 εκ. υπολογιστές.

Τρόπος δράσης: Έρχεται μέσω συνημμένου, συμπιεσμένου αρχείου, μεγέθους 13 ΚΒ (49 μετά την αποσυμπίεση). Προσβάλλει υπολογιστές με λειτουργικό σύστημα Windows 95 ή μεταγενέστερο και εξαπλώνεται μέσω ηλεκτρονικού ταχυδρομείου και δίκτυα ομοτίμων (P2P).

Λεπτομέρειες: Μετά την εκτέλεση του αρχείου, το worm ενεργοποιείται και αντιγράφει τον εαυτό του σε φάκελο του συστήματος, με τυχαία ονομασία και κατάληξη .exe. Στον ίδιο φάκελο δημιουργεί και ένα αρχείο .dll, το οποίο χρησιμοποιείται για την καταχώριση των ηλεκτρονικών διευθύνσεων. Συγχρόνως, επεμβαίνει στη registry, «πειράζοντας» και δημιουργώντας καινούρια κλειδιά, για να μπορεί να φορτώνεται αυτόματα κατά την εκκίνηση του συστήματος, και τερματίζει οποιαδήποτε διαδικασία περιέχει τον όρο «virus» και «firewall». Κατόπιν, ψάχνει τους δίσκους για αρχεία που περιέχουν ηλεκτρονικές διευθύνσεις, τις οποίες και χρησιμοποιεί για να αποστείλει τον εαυτό του. Οι προσβεβλημένοι υπολογιστές, εκτός των άλλων, επιχειρούν να φορτώσουν ορισμένα ουγγρικά sites.

Προφυλάξεις: Οι χρήστες θα πρέπει να επιδεικνύουν ιδιαίτερη προσοχή σε e-mails με συνημμένα, που προέρχονται από άγνωστες πηγές. Το NOD32 ανιχνεύει και καταστρέφει αυτόματα το συγκεκριμένο worm, από την πρώτη κιόλας στιγμή της εμφάνισής του, χάρις στα advanced heuristics.

Απειλή νο 5: Win32/NetSky.Z, worm. Εντοπίστηκε αρχικά στις 21/4/2004 και έκτοτε έχει πλήξει περισσότερους από 2 εκ. υπολογιστές.

Τρόπος δράσης: Οι χρήστες λαμβάνουν e-mail με ένα συνημμένο αρχείο .zip 22 ΚΒ, που περιέχει την απειλή. Αν ανοιχτεί, το worm βρίσκει τις ηλεκτρονικές διευθύνσεις του υπολογιστή και αποστέλλει τον εαυτό του, μαζικά.

Λεπτομέρειες: Το θέμα του e-mail είναι μία από τις λέξεις Important,

Information, Hello, Hi, Document, ενώ στο σώμα του e-mail υπάρχει μία από τις φράσεις, Important informations!, Important textfile!, Important data! , Important bill!, Important document!, Important notice!, Important details! ή μόνο η λέξη Important. Το συνημμένο μπορεί να ονομάζεται ή Informations.zip, ή Textfile.zip ή Part-2.zip ή Data.zip ή Bill.zip ή Important.zip ή Notice.zip ή τέλος, Details.zip. Το αρχείο zip περιέχει ένα εκτελέσιμο που είναι της μορφής .exe, αν και το εικονίδιο που το συνοδεύει, υποδηλώνει (παραπλανητικά) ότι πρόκειται για αρχείο κειμένου. Με το άνοιγμά του, το worm δημιουργεί καινούριες εγγραφές στη registry προκειμένου να τρέχει αυτόματα και αντιγράφει τον εαυτό του σε φάκελο των Windows. Ύστερα, ψάχνει τους δίσκους για αρχεία που περιέχουν ηλεκτρονικές διευθύνσεις, τις οποίες και χρησιμοποιεί για να αποστείλει τον εαυτό του. Επιπλέον, τo worm περιέχει μία εφαρμογή backdoor που επιτρέπει στο συγγραφέα του ιού να πάρει τον έλεγχο του συστήματος, μέσω της πύλης 665 της σύνδεσης TCP του υπολογιστή. Τέλος, σε συγκεκριμένες ημερομηνίες ο μολυσμένος υπολογιστής πραγματοποιεί επιθέσεις denial of service, εναντίον ορισμένων κόμβων.

Προφυλάξεις: Οι χρήστες θα πρέπει να επιδεικνύουν ιδιαίτερη προσοχή σε e-mails με συνημμένα, που προέρχονται από άγνωστες πηγές. Το NOD32 ανιχνεύει και καταστρέφει αυτόματα το συγκεκριμένο worm, από την πρώτη κιόλας στιγμή της εμφάνισής του, χάρις στα advanced heuristics που χρησιμοποιεί.

Το «Virus radar on-line» http://www.virus-radar.com . αποτελεί ένα πρότυπο Παρατηρητήριο ιών, worms και trojans που εξαπλώνονται μέσω του ηλεκτρονικού ταχυδρομείου. Είναι δημιούργημα της εταιρείας ESET, η οποία προμηθεύει και το πρόγραμμα προστασίας από ιούς NOD32. Το NOD32 φέρνει στην Ελλάδα η εταιρεία ADAOX.

Σχετικά με την ESET (www.eset.com)

Η εταιρεία ESET ιδρύθηκε το 1992, με στόχο την ανάπτυξη και την υποστήριξη antivirus και security λογισμικού. Στο μακρύ κατάλογο των εταιρικών πελατών της συγκαταλέγεται και η Microsoft, που χρησιμοποιεί το NOD32 για να ελέγξει τα προϊόντα της πριν τα διοχετεύσει στην αγορά. Η ESET εδρεύει στις ΗΠΑ, ενώ τα προϊόντα της είναι διαθέσιμα σε 60 χώρες, μέσω θυγατρικών (Βρετανία, Τσεχία, Σλοβακία) ή τοπικών συνεργατών.