BMP: trójai zombihadsereg vár a spammertámadásra

Geza Papp, 2004. május 14. 22:52
A BMP fájlokat használják ki szerte a világon az Agent nevű trójai elrejtésére, továbbítására.
Denis Zenkin (Head of Corporate Communications Kaspersky Labs) ma küldött levelét az alábbi figyelmeztetéssel kezdte: Vigyázz! A BMP fájlok egy új vírust, egy új trójait tartalmazhatnak! A BMP fájlokat használják ki szerte a világon az Agent nevű trójai elrejtésére, továbbítására.

A Kaspersky Labs észlelt egy hatalmas fertőzött levélmennyiségben egy új trójait, amit Agentnek neveztek el. Az Agent az áldozatgépeket úgy fertőzi meg, hogy a felhasználó megnézi a levélben lévő BMP grafikát.

Az Agent az MS Internet Explorer (ver. 5.0 és 5.5) sebezhetőségét használja ki, azt, hogy az áldozatgépeken, melyeken ezek a böngészők futnak, hibájuk miatt rosszindulatú kódok futtathatók. Ez a sebezhetőség a Kaspersky Lab's megállapítása szerint a Windows forráskód kiszivárgásának a következménye. Először 2004. február 16-án észlelték.

Az Agent egyértelműen kihasználja a spammertechnikát. Levelek tömegein küldi fertőzött BMP képeit (amiket az Explorer megnyit...). Természetesen a fájlnév, a feladó és a címzett véletlenszerű választás az összegyűjtött információkból. Érdekessége, hogy az Agent által közvetített rosszindulatú kód elsősorban az orosz nyelvű Windows 2000 rendszereket fertőzi meg, más nyelvű rendszerek védettebbek. Ez arra utal, hogy a trójait Oroszországban vagy a környező országokban írhatták.

Ez a nem orosz nyelvű területekre nem jelentene akkora veszélyt, de sajnos az Agent működésének az első fertőzés - ami a kép megnyitásakor történik - csak egy töredéke. A megfertőzött gépek azonnal kapcsolatba lépnek egy líbiai domainzónában lévő szerverrel, ahonnan fájlokat töltenek le. E fájlok többsége a Throd nevű trójai, mely már nem csak orosz nyelvű rendszerekre veszélyes.

A Throd egy klasszikus spyware program. A trójai első másolatát a Windows rendszer registry kulcsába másolja, majd várja a további parancsot. A 'mester' - a trójai írója - képes távolról "alkotását" irányítani, azzal különböző feladatokat végrehajtatni. Elsősorban a fertőzött gépről címeket, adatokat, információkat gyűjt és továbbít - az MS Outlook segítségével, és így gyakorlatilag az áldozatgép egy felismerhetetlenné tett platformon és követhetetlenné tett domainon működik, mint a későbbiekben várható kiberbűncselekmények "védőbástyája".

"A Throdot nyilvánvalóan spammerek írták" - mondta véleményét Eugene Kaspersky, "a trójaik a címek alapján megfertőzött gépekből egy olyan zombihálózatot hoztak létre, amelyikről bármikor indítható egy hatalmas spammertámadás. Ismét láthatjuk és megerősödik az az eddigi feltételezésünk - erre a Throd kiváló bizonyíték -, hogy a vírusírók a spammerekkel együtt írják mintegy 'kézenfogva' a trójaikat."

A Microsoft a mai napig nem bocsátott ki az ismert sebezhetőségre semmilyen javítófoltot. A védelem ezért a felhasználókon múlik.

"Szerintem több mint valószínű" - folytatta Eugen Kaspersky -,"hogy ezek a kórokozók egyre több gépet próbálnak megfertőzni szerte a világon. Egyetlen lehetőségük maradt a felhasználóknak a Windows hibajavítófolt hiányában, egy állandóan frissített modern antivírusszoftver."

Részletesebben a trójaiakról itt olvashatnak:
Kaspersky Virus Encyclopedia

(http://www.viruslist.com/eng/viruslist.html?id=1503649,
http://www.viruslist.com/eng/viruslist.html?id=1499171).

Sőt mindezt megerősítendő este kaptam a hírt az Agentről, melyet a Sophos küldött. Leírásukat itt olvashatják:

Name: Troj/Agent-A
Aliases: TrojanDownloader.BMP.Agent.a, Exploit-BMP.dldr
Type: Trojan
Date: 14 May 2004 ...

http://www.sophos.com/virusinfo/analyses/trojagenta.html

Frissítsék antivírusprogramjaikat, használjanak jó programokat, tűzfalakat, ad-aware-ket. Nagyobb kárt okozhatnak jelenleg a trójaiak, mint más "friss" kórokozók...

Vírusmentes napot!

Geza Papp dr.
Networksecurity and Virusanalyst