Εβδομαδιαία Αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών

Ασφάλεια - 01/04/2005

Από αυτή την Παρασκευή και κάθε Παρασκευή θα δημοσιεύουμε την Εβδομαδιαία Αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών που εκδίδει η Panda Software σαν δελτίο τύπου.
Στην αναφορά αυτής της εβδομάδας θα εξετάσουμε δύο worms, τα Mydoom.BH και Crowt.B, και έναν Δούρειο Ίππο με όνομα Downloader.BHV.

Το Mydoom.BH είναι ένα worm το οποίο εξαπλώνεται μέσω ηλεκτρονικού ταχυδρομείου, καθώς και μέσω του προγράμματος κοινής χρήσης αρχείων KaZaA. Αφού εισέλθει σ έναν υπολογιστή και τρέξει σ αυτόν, μεταφέρει από ένα website μία ιστοσελίδα που περιέχει κώδικα, ο οποίος αποθηκεύεται στον φάκελο System των Windows σαν ένα εκτελέσιμο αρχείο με όνομα TEMP1.EXE. Επίσης εμφανίζει μία οθόνη η οποία αναφέρεται

σ ένα antivirus, με στόχο να ξεγελάσει τους χρήστες.

Για να εξαπλωθεί μέσω email, στέλνει τον εαυτό του σε όλες τις επαφές που βρίσκει στο Βιβλίο Διευθύνσεων

του Outlook, χρησιμοποιώντας το δικό του μηχανισμό SMTP. Το όνομα που εμφανίζεται σαν αποστολέας του μηνύματος email είναι πλασματικό, ενώ το μήνυμα περιλαμβάνει ένα συνημμένο με εχθρικό κώδικα.

Επιπρόσθετα με την εξάπλωσή του μέσω email, το Mydoom.BH δημιουργεί ένα αντίγραφο του εαυτού του στον κοινόχρηστο φάκελο του KaZaA, τον οποίο και ανακτά από το Registry (Μητρώο) των Windows. Το όνομα και η επέκταση αρχείου αυτού του αντιγράφου επιλέγονται τυχαία από μία λίστα ονομάτων ειδικά μελετημένων ώστε να προσελκύουν τους χρήστες του KaZaA.

Άλλοι χρήστες του KaZaA μπορούν να προσπελάζουν εξ αποστάσεως αυτό τον κοινόχρηστο φάκελο και

να μεταφέρουν εκουσίως στον υπολογιστή τους τα αρχεία που δημιουργεί το Mydoom.BH, θεωρώντας ότι είναι ενδιαφέροντα προγράμματα, κ.α. Ωστόσο, στην πραγματικότητα αυτό που μεταφέρουν στους υπολογιστές τους είναι αντίγραφα του worm. Όταν εκτελούν το αρχείο που μετέφεραν, οι υπολογιστές τους

μολύνονται από το Mydoom.BH.

Το δεύτερο worm που θα εξετάσουμε σ αυτή την αναφορά, Crowt.B, επιδεικνύει λειτουργικότητα

"πίσω πόρτας" και εξαπλώνεται μέσω email χρησιμοποιώντας τον δικό του μηχανισμό SMTP. Βρίσκει

τις διευθύνσεις στις οποίες στέλνει τον εαυτό του από μία λίστα των επαφών που είναι καταχωρισμένες

στον υπολογιστή του χρήστη.

Αυτό το worm επιτρέπει την εξ αποστάσεως εκτέλεση εντολών στον επηρεαζόμενο υπολογιστή, καθώς και την απόσπαση πληροφοριών από αυτόν. Αντιπροσωπεύει επίσης έναν επιπλέον κίνδυνο, δεδομένου ότι καταγράφει όλα τα πατήματα πλήκτρων των χρηστών με στόχο την κλοπή κωδικών πρόσβασης.

Για να κρύψει την παρουσία του, το Crowt.B εμφυτεύει τον κώδικά του μέσα σε άλλα προγράμματα.

Η τελευταία μορφή εχθρικού κώδικα που θα εξετάσουμε είναι ο Δούρειος Ίππος Downloader.BHV, ο οποίος μεταφέρει και εγκαθιστά προγράμματα διαφημίσεων (adware) στους υπολογιστές που επηρεάζει.

Το Downloader.BHV χρειάζεται τη βοήθεια ενός εισβολέα για να φτάσει σε υπολογιστές - δεν έχει τη

δυνατότητα να εξαπλώνεται μόνο του αυτόματα. Για τη διάδοσή του χρησιμοποιούνται διάφορα κανάλια, όπως δισκέτες, CD,

μηνύματα e-mail με συνημμένα αρχεία, αρχεία που μεταφέρονται από το Internet ή μέσω FTP, κανάλια του IRC, δίκτυα κοινής χρήσης αρχείων (P2P), κ.α.

Όταν εκτελείται, το Downloader.BHV μεταφέρει από μία σειρά δικτυακών τόπων πέντε εκτελέσιμα αρχεία

μεταμφιεσμένα σαν αρχεία εικόνων μορφής GIF, τα οποία και εκτελεί στον επηρεαζόμενο υπολογιστή. Για να εμποδίσει

τον εντοπισμό του, χρησιμοποιεί ορισμένες πολύ απλές τεχνικές (π.χ. ορισμένα αλφαριθμητικά κειμένου δημιουργούνται κατά τη διάρκεια εκτέλεσης του κώδικα).

Για περισσότερες πληροφορίες σχετικά μ αυτές και άλλες μορφές απειλών, ανατρέξτε στην Εγκυκλοπαίδεια Ιών

της Panda Software, στην διεύθυνση: http://www.pandasoftware.com/virus_info/encyclopedia/

Το Εργαστήριο Καταπολέμησης Ιών της Panda Software

Το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs) λειτουργεί επί 24-ώρου βάσεως,

αναζητώντας νέους ιούς και άλλες απειλές για τους υπολογιστές, οι οποίες μπορεί να παρουσιαστούν σε

οποιαδήποτε γωνιά του κόσμου, ή στέλνονται από χρήστες οι οποίοι έχουν εντοπίσει "ύποπτα" αρχεία. Οι ειδικοί του

Εργαστηρίου εξετάζουν εξονυχιστικά κάθε μορφή εχθρικού κώδικα, αμέσως μόλις την λάβουν, και αναλύουν τα

χαρακτηριστικά και την συμπεριφορά της. Αμέσως μετά αναπτύσσουν τις κατάλληλες ρουτίνες ανίχνευσης

εξάλειψης, οι οποίες διανέμονται επί καθημερινής βάσεως στους χρήστες προϊόντων antivirus της Panda

Software. Σαν αποτέλεσμα, οι λύσεις της Panda Software είναι πάντα έτοιμες να αποκρούσουν οποιαδήποτε

απειλή, όσο πρόσφατη κι αν είναι.

Για περισσότερες πληροφορίες: http://www.pandasoftware.com/virus_info .