Εβδομαδιαία Αναφορά για Ιούς και Επιθέσεις σε Συστήματα Υπολογιστών

Στην αναφορά αυτής της εβδομάδας θα εξετάσουμε έναν Δούρειο Ίππο με συμπεριφορά "πίσω πόρτας", γνωστό με το όνομα Beliu.A, καθώς και τα worms Mydoom.BN και Mytob.P.

Το Beliu.A χαρακτηρίζεται σαν Δούρειος Ίππος με συμπεριφορά "πίσω πόρτας" (backdoor Trojan) επειδή ανοίγει μία "πίσω πόρτα" στους υπολογιστές που μολύνει, επιτρέποντας σ έναν εισβολέα να αποκτήσει τον έλεγχο του συστήματος και να εκτελέσει διάφορες εχθρικές ενέργειες. Συγκεκριμένα, το Beliu.A συνδέεται στον Internet server liubei.8866.org, μέσω του οποίου ο εισβολέας μπορεί να αποκτήσει τον έλεγχο του επηρεαζόμενου υπολογιστή και να εκτελέσει διάφορες ενέργειες - για παράδειγμα, μεταφορά αρχείων από το Internet, μετακίνηση/διαγραφή αρχείων από τους τοπικούς δίσκους, εκτέλεση εντολών και τερματισμό διεργασιών που τρέχουν στο σύστημα. Για να συνδεθεί σ αυτό τον server χρησιμοποιεί την θύρα επικοινωνίας 8080 του HTTP. Το χειρότερο είναι ότι αυτός ο Δούρειος Ίππος θα μπορούσε να λειτουργήσει αποτελεσματικά ακόμη και σε δίκτυα τα οποία προστατεύονται με firewall, δεδομένου ότι η θύρα επικοινωνίας 8080 είναι συνήθως ανοιχτή και επιτρέπει την διέλευση κυκλοφορίας.

Συνήθως, το Beliu.A φτάνει στους υπολογιστές μέσα σ ένα μήνυμα email με το θέμα “MOFCOM IPR Report-English Version!” και ένα συνημμένο αρχείο με όνομα “International IPR Conventions China Acceded to.doc”. Αυτό το αρχείο - ένα έγγραφο του Word - εκμεταλλεύεται το πρόβλημα ασφάλειας MS01-028 για να μεταφέρει στον υπολογιστή τα αρχεία http://81.27.111.103/ek/normal2.dot και http://81.27.111.103/ek/liu8080.exe, το δεύτερο εκ των οποίων περιέχει τον κώδικα του Δούρειου Ίππου.

Το πρώτο worm που θα εξετάσουμε σ αυτή την αναφορά είναι μία νέα παραλλαγή του MyDoom, με όνομα Mydoom.BN. Αυτό το worm εξαπλώνεται μέσω email, χρησιμοποιώντας τον δικό του μηχανισμό SMTP, και αναζητά διευθύνσεις email για να εξαπλωθεί σε άλλους υπολογιστές στο βιβλίο διευθύνσεων των Windows, καθώς και σε αρχεία με διάφορες επεκτάσεις, όπως htm, xml, wml, asp ή wab. Για να μην εγείρει υποψίες, δεν στέλνει τον εαυτό του στις διευθύνσεις ή στα domains που περιλαμβάνει σε μία ειδική λίστα.

Το μήνυμα που μεταφέρει αυτό τον εχθρικό κώδικα μπορεί να έχει διάφορα θέματα, τα οποία συνήθως προσπαθούν να πείσουν τον χρήστη ότι το εν λόγω μήνυμα σχετίζεται με κάποιο σφάλμα στην παράδοση της ηλεκτρονικής του αλληλογραφίας, όπως π.χ. “Mail Delivery System”, “Mail Transaction Failed” ή “Server Report”.

Το κυρίως κείμενο του μηνύματος αναφέρεται επίσης σε σφάλματα όπως τα “Mail transaction failed. Partial message is available” ή “The message contains Unicode characters and has been sent as a binary attachment”. Το συνημμένο περιέχει τον ιό και μπορεί να έχει διάφορα ονόματα (“document”, “readme”, “doc”, “message”, κ.α.) με επέκταση εκτελέσιμου αρχείου των Windows (pif, scr, exe, cmd ή bat).

Η τελευταία μορφή εχθρικού κώδικα που θα εξετάσουμε σ αυτή την αναφορά είναι το Mytob.P, ένα worm με χαρακτηριστικά "πίσω πόρτας". Αυτό το worm εξαπλώνεται ψάχνοντας στο δίκτυο για κοινόχρηστους πόρους των οποίων οι χρήστες έχουν χρησιμοποιήσει κωδικούς πρόσβασης που είναι εύκολο να μαντευτούν. Μπορεί επίσης να εξαπλώνεται μέσω email, μέσα σ ένα μήνυμα με παραποιημένη διεύθυνση αποστολέα και ένα συνημμένο αρχείο. Βρίσκει τις διευθύνσεις email στις οποίες στέλνει τον εαυτό του ψάχνοντας σε αρχεία αποθηκευμένα στον υπολογιστή, με επεκτάσεις όπως οι .htm, .php, .wab, κ.α.

Ωστόσο, για να αποφύγει τον έγκαιρο εντοπισμό του από συγκεκριμένες εταιρείες ή χρήστες, δεν στέλνει τον εαυτό του σε συγκεκριμένες διευθύνσεις. Για παράδειγμα, αποφεύγει να στείλει τον εαυτό του σε διευθύνσεις που περιέχουν τις λέξεις “abuse”, “admin“, “gnu”, “ibm.com”, ή “panda”.

Το θέμα του μηνύματος μπορεί να είναι ένα προκαθορισμένο κείμενο (“Error”, “Mail Delivery System”, “Mail Transaction Failed”, “Server Report”, κ.α.), μία τυχαία ακολουθία χαρακτήρων, ή κενό. Το κυρίως κείμενο του μηνύματος αναφέρεται σ ένα μήνυμα σφάλματος, ενώ το όνομα του συνημμένου αρχείου ανακτάται από μία λίστα ονομάτων και η επέκτασή του υποδηλώνει ένα εκτελέσιμο αρχείο των Windows.

Για περισσότερες πληροφορίες σχετικά μ αυτές και άλλες μορφές απειλών, ανατρέξτε στην Εγκυκλοπαίδεια της Panda Software για τους Ιούς (Virus Encyclopedia): http://www.pandasoftware.com/virus_info/encyclopedia

- Το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs) λειτουργεί επί 24-ώρου βάσεως, αναζητώντας νέους ιούς και άλλες απειλές για τους υπολογιστές, οι οποίες μπορεί να παρουσιαστούν σε οποιαδήποτε γωνιά του κόσμου, ή στέλνονται από χρήστες οι οποίοι έχουν εντοπίσει "ύποπτα" αρχεία. Οι ειδικοί του Εργαστηρίου εξετάζουν εξονυχιστικά κάθε μορφή εχθρικού κώδικα, αμέσως μόλις την λάβουν, και αναλύουν τα χαρακτηριστικά και την συμπεριφορά της. Αμέσως μετά αναπτύσσουν τις κατάλληλες ρουτίνες ανίχνευσης και εξουδετέρωσης, οι οποίες διανέμονται επί καθημερινής βάσεως στους χρήστες προϊόντων antivirus της Panda Software. Σαν αποτέλεσμα, οι λύσεις της Panda Software είναι πάντα έτοιμες να αποκρούσουν οποιαδήποτε απειλή, όσο πρόσφατη κι αν είναι.

Για περισσότερες πληροφορίες: http://www.pandasoftware.com/virus_info