Αρχή » ΑρθρογραφίαΕβδομαδιαία αναφορά για Ιούς και Επιθέσεις σε Συστήματα ΥπολογιστώνΑσφάλεια - 08/09/2005Την εβδομάδα που μας πέρασε, μονοπώλησαν το ενδιαφέρον οι ακόλουθες μορφές εχθρικού λογισμικού: Ο Δούρειος Ίππος Banker.AMQ εκτελεί αρκετές ενέργειες στους υπολογιστές που μολύνει, συμπεριλαμβανομένων των ακόλουθων: - Ελέγχει εάν είναι διαθέσιμη μία σύνδεση Internet και εάν ναι, στέλνει ένα email σ έναν λογαριασμό που ανήκει στο domain oi.com.br, για να ενημερώσει τον δημιουργό του ότι έχει εγκατασταθεί στον υπολογιστή. - Ελέγχει εάν ο χρήστης επισκέπτεται ιστοσελίδες που ανήκουν σε διάφορους τραπεζικούς οργανισμούς της Βραζιλίας. Εάν ο χρήστης επισκεφτεί μία από αυτές τις ιστοσελίδες, ο Δούρειος Ίππος εμφανίζει μία διαφορετική ιστοσελίδα στον Internet Explorer, η οποία είναι αντίγραφο της σελίδας που ζήτησε ο χρήστης αλλά απαιτεί την εισαγωγή εμπιστευτικών δεδομένων, όπως π.χ. όνομα χρήστη και κωδικό πρόσβασης, ανάλογα με την τράπεζα στην οποία υποτίθεται ότι ανήκει. Αφού συλλέξει αυτά τα δεδομένα, εμφανίζει ένα μήνυμα σφάλματος στα Πορτογαλικά, με στόχο να μπερδέψει τον χρήστη και να μην εγείρει υποψίες. Στη συνέχεια στέλνει τα δεδομένα που έχει συλλέξει σε μία διεύθυνση email. - Ψάχνει για αρχεία που ανήκουν στο Βιβλίο Διευθύνσεων (Address Book) των Windows και ψηφιακά πιστοποιητικά, και τα στέλνει σ έναν server μέσω FTP. Ο δεύτερος Δούρειος Ίππος, Downloader.ENC, έχει βρεθεί σε ορισμένες ιστοσελίδες, μία εκ των οποίων είναι αφιερωμένη στον τυφώνα Katrina. Αφού εγκατασταθεί σ έναν υπολογιστή, το Downloader.ENC προσπαθεί να μεταφέρει μία παραλλαγή του worm Dedler από μία ιστοσελίδα. Το πρώτο εργαλείο για χάκερ που θα εξετάσουμε σ αυτή την αναφορά είναι το 007Spy, το οποίο μπορεί να καταγράφει "φωτογραφικά στιγμιότυπα" από την οθόνη του υπολογιστή, τις πληκτρολογήσεις του χρήστη, καθώς και τα websites και τα αρχεία που προσπελάζει ο χρήστης. Μπορεί να στέλνει τις πληροφορίες που συλλέγει μέσω email ή FTP. Το 007Spy μπορεί να τρέχει "κρυφά" στο σύστημα, χωρίς να γίνεται αντιληπτή η παρουσία του από τον χρήστη. Επιπλέον, μπορεί να αποφεύγει τον εντοπισμό του από αρκετά προγράμματα καταπολέμησης spyware και επιτρέπει τον καθορισμό ενός κωδικού πρόσβασης, έτσι ώστε να μην μπορεί να το προσπελάσει ο χρήστης. Θα ολοκληρώσουμε αυτή την αναφορά με το KeyMask, ένα εργαλείο για χάκερ το οποίο καταγράφει τις πληκτρολογήσεις του χρήστη. Για να ελέγχει τη διαδικασία παρακολούθησης δημιουργεί το αρχείο KH.DLL, το οποίο "εξάγει" στο σύστημα τις ακόλουθες συναρτήσεις: Stara, StartMaskKey και StopMaskKey. Το KeyMask μπορεί να συλλέγει κωδικούς πρόσβασης και άλλες πληροφορίες εμπιστευτικής φύσης, θέτοντας σε κίνδυνο την ιδιωτικότητα των χρηστών. Για περισσότερες πληροφορίες σχετικά μ’ αυτές και άλλες απειλές, ανατρέξτε στην Εγκυκλοπαίδεια της Panda Software. - Το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs) Από το 1990, αποστολή του PandaLabs είναι η ανάλυση των νέων απειλών το συντομότερο δυνατό, ώστε να διασφαλίζεται η προστασία των πελατών της Panda Software. Πολλαπλές ομάδες στελεχών ειδικευμένων σε διαφορετικούς τύπους εχθρικού λογισμικού (ιούς, worms, Δούρειους Ίππους, spyware, phishing, spam, κ.α.) εργάζονται επί 24-ώρου βάσεως, ώστε να παρέχουν παγκόσμια κάλυψη. Για τον σκοπό αυτό υποστηρίζονται επίσης από τις Τεχνολογίες TruPrevent, ένα πραγματικά παγκόσμιο σύστημα προειδοποίησης το οποίο απαρτίζεται από «αισθητήρες» τοποθετημένους σε στρατηγικά σημεία, οι οποίοι μπλοκάρουν τις νέες απειλές και τις στέλνουν στο PandaLabs για σχολαστική ανάλυση. Σύμφωνα με τον έγκυρο φορέα AV-Test.org, το PandaLabs είναι το ταχύτερο στον τομέα του που παρέχει ολοκληρωμένες ενημερώσεις (για περισσότερες πληροφορίες, ανατρέξτε στην ιστοσελίδα www.pandasoftware.com/pandalabs.asp ).
|