BMP: trójai zombihadsereg vár a spammertámadásra
Geza Papp, 2004. május 14. 22:52
Denis Zenkin (Head of Corporate Communications Kaspersky Labs) ma küldött levelét az alábbi figyelmeztetéssel kezdte: Vigyázz! A BMP fájlok egy új vírust, egy új trójait tartalmazhatnak! A BMP fájlokat használják ki szerte a világon az Agent nevű trójai elrejtésére, továbbítására.
A Kaspersky Labs észlelt egy hatalmas fertőzött levélmennyiségben egy új trójait, amit Agentnek neveztek el. Az Agent az áldozatgépeket úgy fertőzi meg, hogy a felhasználó megnézi a levélben lévő BMP grafikát.
Az Agent az MS Internet Explorer (ver. 5.0 és 5.5) sebezhetőségét használja ki, azt, hogy az áldozatgépeken, melyeken ezek a böngészők futnak, hibájuk miatt rosszindulatú kódok futtathatók. Ez a sebezhetőség a Kaspersky Lab's megállapítása szerint a Windows forráskód kiszivárgásának a következménye. Először 2004. február 16-án észlelték.
Az Agent egyértelműen kihasználja a spammertechnikát. Levelek tömegein küldi fertőzött BMP képeit (amiket az Explorer megnyit...). Természetesen a fájlnév, a feladó és a címzett véletlenszerű választás az összegyűjtött információkból. Érdekessége, hogy az Agent által közvetített rosszindulatú kód elsősorban az orosz nyelvű Windows 2000 rendszereket fertőzi meg, más nyelvű rendszerek védettebbek. Ez arra utal, hogy a trójait Oroszországban vagy a környező országokban írhatták.
Ez a nem orosz nyelvű területekre nem jelentene akkora veszélyt, de sajnos az Agent működésének az első fertőzés - ami a kép megnyitásakor történik - csak egy töredéke. A megfertőzött gépek azonnal kapcsolatba lépnek egy líbiai domainzónában lévő szerverrel, ahonnan fájlokat töltenek le. E fájlok többsége a Throd nevű trójai, mely már nem csak orosz nyelvű rendszerekre veszélyes.
A Throd egy klasszikus spyware program. A trójai első másolatát a Windows rendszer registry kulcsába másolja, majd várja a további parancsot. A 'mester' - a trójai írója - képes távolról "alkotását" irányítani, azzal különböző feladatokat végrehajtatni. Elsősorban a fertőzött gépről címeket, adatokat, információkat gyűjt és továbbít - az MS Outlook segítségével, és így gyakorlatilag az áldozatgép egy felismerhetetlenné tett platformon és követhetetlenné tett domainon működik, mint a későbbiekben várható kiberbűncselekmények "védőbástyája".
A Microsoft a mai napig nem bocsátott ki az ismert sebezhetőségre semmilyen javítófoltot. A védelem ezért a felhasználókon múlik.
(http://www.viruslist.com/eng/viruslist.html?id=1503649,
http://www.viruslist.com/eng/viruslist.html?id=1499171).
Sőt mindezt megerősítendő este kaptam a hírt az Agentről, melyet a Sophos küldött. Leírásukat itt olvashatják:
http://www.sophos.com/virusinfo/analyses/trojagenta.html
Frissítsék antivírusprogramjaikat, használjanak jó programokat, tűzfalakat, ad-aware-ket. Nagyobb kárt okozhatnak jelenleg a trójaiak, mint más "friss" kórokozók...
Vírusmentes napot!
A Kaspersky Labs észlelt egy hatalmas fertőzött levélmennyiségben egy új trójait, amit Agentnek neveztek el. Az Agent az áldozatgépeket úgy fertőzi meg, hogy a felhasználó megnézi a levélben lévő BMP grafikát.
Az Agent az MS Internet Explorer (ver. 5.0 és 5.5) sebezhetőségét használja ki, azt, hogy az áldozatgépeken, melyeken ezek a böngészők futnak, hibájuk miatt rosszindulatú kódok futtathatók. Ez a sebezhetőség a Kaspersky Lab's megállapítása szerint a Windows forráskód kiszivárgásának a következménye. Először 2004. február 16-án észlelték.
Az Agent egyértelműen kihasználja a spammertechnikát. Levelek tömegein küldi fertőzött BMP képeit (amiket az Explorer megnyit...). Természetesen a fájlnév, a feladó és a címzett véletlenszerű választás az összegyűjtött információkból. Érdekessége, hogy az Agent által közvetített rosszindulatú kód elsősorban az orosz nyelvű Windows 2000 rendszereket fertőzi meg, más nyelvű rendszerek védettebbek. Ez arra utal, hogy a trójait Oroszországban vagy a környező országokban írhatták.
Ez a nem orosz nyelvű területekre nem jelentene akkora veszélyt, de sajnos az Agent működésének az első fertőzés - ami a kép megnyitásakor történik - csak egy töredéke. A megfertőzött gépek azonnal kapcsolatba lépnek egy líbiai domainzónában lévő szerverrel, ahonnan fájlokat töltenek le. E fájlok többsége a Throd nevű trójai, mely már nem csak orosz nyelvű rendszerekre veszélyes.
A Throd egy klasszikus spyware program. A trójai első másolatát a Windows rendszer registry
"A Throdot nyilvánvalóan spammerek írták" - mondta véleményét Eugene Kaspersky, "a trójaik a címek alapján megfertőzött gépekből egy olyan zombihálózatot hoztak létre, amelyikről bármikor indítható egy hatalmas spammertámadás. Ismét láthatjuk és megerősödik az az eddigi feltételezésünk - erre a Throd kiváló bizonyíték -, hogy a vírusírók a spammerekkel együtt írják mintegy 'kézenfogva' a trójaikat."
A Microsoft a mai napig nem bocsátott ki az ismert sebezhetőségre semmilyen javítófoltot. A védelem ezért a felhasználókon múlik.
"Szerintem több mint valószínű" - folytatta Eugen Kaspersky -,"hogy ezek a kórokozók egyre több gépet próbálnak megfertőzni szerte a világon. Egyetlen lehetőségük maradt a felhasználóknak a Windows hibajavítófolt hiányában, egy állandóan frissített modern antivírusszoftver."
Részletesebben a trójaiakról itt olvashatnak:
Kaspersky Virus Encyclopedia
Kaspersky Virus Encyclopedia
(http://www.viruslist.com/eng/viruslist.html?id=1503649,
http://www.viruslist.com/eng/viruslist.html?id=1499171).
Sőt mindezt megerősítendő este kaptam a hírt az Agentről, melyet a Sophos küldött. Leírásukat itt olvashatják:
Name: Troj/Agent-A
Aliases: TrojanDownloader.BMP.Agent.a, Exploit-BMP.dldr
Type: Trojan
Date: 14 May 2004 ...
Aliases: TrojanDownloader.BMP.Agent.a, Exploit-BMP.dldr
Type: Trojan
Date: 14 May 2004 ...
http://www.sophos.com/virusinfo/analyses/trojagenta.html
Frissítsék antivírusprogramjaikat, használjanak jó programokat, tűzfalakat, ad-aware-ket. Nagyobb kárt okozhatnak jelenleg a trójaiak, mint más "friss" kórokozók...
Vírusmentes napot!
Geza Papp dr.
Networksecurity and Virusanalyst
Networksecurity and Virusanalyst
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Magyar fejlesztésű program lett a legjobb spamszűrő
- Piacvezető itthon a NOD32
Biztonság ROVAT TOVÁBBI HÍREI
Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz
Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére.
2024. november 22. 11:39