Šios savaitės virusų apžvalga apima 3 kirminus -Nachi.A (W32/Nachi.A), Sobig.F (W32/Sobig.F) ir Panol.B (W32/Panol.B)-, ir Caraga (W97M/Caraga) macro virusą.
Šios savaitės virusų apžvalga apima 3 kirminus – „Nachi.A“ (W32/Nachi.A), „Sobig.F“ (W32/Sobig.F) ir „Panol.B“ (W32/Panol.B), – ir „Caraga“ (W97M/Caraga) macro virusą.
„Nachi.A“ yra sukurtas kaip garsusis „Blaster“ kirminas ir išnaudoja RPC DCOM saugumo skylę, kuri būdinga tam tikroms „Windows“ operacinėms sitemoms. „Nachi.A“ kirminas neplinta elektroniniu paštu. Jis kompiuteryje sukuria TFTP (Trivial File Transfer Protocol) serverį kuris leidžia atakuoti nutolusius kompiuterius naudojant TCP/IP ir siekiant perkrauti bylų buferį. Atakuojamas kompiuteris yra priverstas parsisiųsti kirmino kopiją. „Nachi.A“, kurio preliminariai nustatyta kilmės šalis yra Kinija, taip pat gali išnaudoti WebDav saugumo skylę.
„Nachi.A“ kirminas turi keistą sąvybę, jis ištrina „Blater“ kirminą iš juo užkrėsto kompiuterio, sunaikindamas jo paleistus procesus ir ištrindamas failą, kuris turi kirminą. Be to, dar parsiunčia ir suinstaliuoja „Microsoft“ saugumo atnaujinimą, kuris ištaiso RPC DCOM saugumo skylę. Ir galiausiai jis išsitrina, kai sistemos data tampa 2004.
„F Sobig“ kirmino variantas tapo virusu su džiausiu ir greičiausiu užkrėtimo lygiu visoje kompiuterinių virusų istorijoje. Jis buvo aptiktas visame pasaulyje per mažiau nei 24 valandas nuo pasirodymo. Tai lemia bauginančios kirmino galimybės plisti elektroniniu paštu ir vietiniais tinklais. Tai padaro „Sobig.F“ tikrai rimta grėsme korporacijų tinklams.
„Sobig.F“ taip pat turi paslėptų grėsmių, nes naudoja socialinius triukus, kad priverstų vartotojus paleisti failą turintį savyje kirminą. Be to, pakeičia siuntėjo adresą laiške, kuriuo plinta (negalima atsekti židinio), veikia labai panašiai kaip kiti žalingi kodai (pvz. „Klez.I“). Šiuo būdu bandoma įtikinti vartotoją, kad žinutė atėjo iš patikimo šaltinio.
Kai tik vartotojas paleidžia prisegtą failą turintį savyje kirminą, „Sobig.F“ panaudoja savo vidinį SMTP varikliuką, kad išsisiųstų visais elektroninio pašto adresais, kuriuos suranda failuose su galunėmis: TXT, HTM*, WAB, DBX and .EML. Jis taip pat nusikopijuoja save į sistemą failu su pavadinimu winppr32.exe ir sukuria keletą įrašų „Windows Registry“, kad užsitikrintų savęs paleidimą kiekvieną kartą startuojant kompiuterį.
„Sobig.F“ taip pat gali parsisiųsti failus iš Interneto ir turi „backdoor“ funkcijas, kurios leidžia atidaryti keletą komunikacijos jungčių.
„Panol.B“ peržiūri užkrėsto kompiuterio kietą diską ieškodamas failų, kurių galunės prasideda HTM. Tada peržiūri rastus failus ieškodamas eilutės „mailto:“ ir išsisiunčia visais rastais adresais. Užkrėstame kompiuterije atminties rezidentas „Panol.B“ bando įvykdyti įvairius veiksmus priklausomai nuo sistemos datos: perkrauti kompiuteri, išjungti pelę ar klaviaturą.
„Caraga“ užkrečia „Word“ dokumentus naudodamas makro virusams įprastus metodus. Pirmiausia jis užkrečia pagrindinį šabloną (NORMAL.DOT file) ir užkrečia visus dokumentus, kurie yra atidaromi, uždaromi ar išsaugomi užkrėstame kompiuteryje.
„Caraga“ taip pat paslepia arba išjungia daugelį opcijų „Tools“ meniu: „Visual Basic Editor“ ir įrankių juostą, „Macros“, „Control Box“ įrankių juostą, trumpuosius mygtukus etc.
Detalesnę informaciją apie šiuos ir kitus virusus galite rasti „Panda Software“ Virusų Enciklopedijoje: www.pandasoftware.com/virus_info/encyclopedia.