Sistemac: Pojedinačna vijest

NASLOVNICA

MAPA WEBA

TRAŽILICA

KONTAKTI

CARNET WEB


Sigurnost

Distribucija

Pomoć

Dokumenti

29-04-04 09:01
Dva nova crva u naletu

piše NENAD TEŽAK

najnovije informacije o virusnim aktivnostima, tvrtke Trend Micro, za

Hrvatsku i okolne zemlje ukazuju na pojavu nove dvije napasti u posljednjih par dana.

Novi virusi, označeni kao WORM_NETSKY.AB i WORM_BAGLE.Z, uvršteni su na tzv. "yellow alert" listu, preteknuvši dva crva o kojima smo već pisali.

Tako je trenutno stanje, prema broju zabilježenih infekcija u našoj regiji

slijedeće

1. WORM_BAGLE.Z

(http://hr.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia

.php?s=1&VName=WORM_BAGLE.Z)

2. WORM_NETSKY.AB

(http://hr.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia

.php?s=1&VName=WORM_NETSKY.AB)

3. WORM_BAGLE.X

(http://hr.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia

.php?s=1&VName=WORM_BAGLE.X)

4. WORM_NETSKY.Y

(http://hr.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia

.php?s=1&VName=WORM_NETSKY.Y)

U zagradama su, potpunosti radi, navedeni linkovi s detaljnim opisom

njihovog djelovanja i načinom njihovog odstranjivanja

za sva četiri crva, iako smo o crvu WORM_BAGLE.X i WORM_NETSKY.Y već pisali.

Za razliku od prethodnika, izgleda da se nove varijante NETSKY i BAGLE crva

šire uglavnom putem email poruka, korištenjem vlastitog SMTP engina, kojim

se repliciraju lažirajući kompletna zaglavlja email poruka. Email adrese

prikuplja sa lokalnih logičkih diskova C: do Z:, uključujući i sve ono što

potpada pod removable drive diskove (USB ključevi itd.).

Nova varijanta crva BAGLE pri propagaciji kroz mrežu pretražuje sve mrežne

resurse koji u svom nazivu sadrže 'shar' (npr. direktorij nazvan Shared).

Osim toga, WORM_BAGLE.Z pokušava otvoriti backdoor udaljenom napadaču, zatim

nastoji prekinuti rad (terminirati) neke antivirusne i sigurnosne programe,

a nastoji i ukloniti iz registrya ključeve koji omogućuju automatsko

izvođenje WORM_NETSKY.Y crva

Detaljniji mehanizam propagacije kao i karakteristični ključevi u registryju

koji crvu osiguravaju pokretanje kod svakog restarta računala mogu se

pročitati na stranici:

http://hr.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName

=WORM_NETSKY.AB&VSect=T#EXT

Detalje oko uobičajenih naziva u FROM: i TO: polju zaglavlja, te karakteristične sadržaje teksta poruke za WORM_BAGLE.X možete pogledati na

http://hr.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_BAGLE.X&VSect=T

Kod crva WORM_NETSKY.AB situacija je slijedeća:

From: polje - Lažirana email adresa - iz skupa prikupljenih email adresa na

zaraženom računalu

Subject: polje - nešto iz sljedećeg asortimana

. Correction

. Criminal

. Found

. Funny

. Hurts

. Letter

. Money

. More samples

. Numbers

. Only love?

. Password

. Picture

. Pictures

. Privacy

. Question

. Stolen

. Text

. Wow

Iz sadržaja teksta poruke valja izdvojiti slijedeće karakteristične fraze:

. Are your numbers correct?

. Do you have asked me?

. Do you have more photos about you?

. Do you have more samples?

. Do you have no money?

. Do you have written the letter?

. Does it hurt you?

. Hey, are you criminal?

. How can I help you?

. I've found your creditcard. Check the data!

. I've your password. Take it easy!

. Please do not sent me your illegal stuff again!!!

. Please use the font arial!

. Still?

. The text you sent to me is not so good!

. True love letter?

. Why do you show your body?

. Wow! Why are you so shy?

. You have no chance...

. Your pictures are good!

Nakon toga slijedi nešto iz slijedećeg repertoara:

*New message is available.

*Partial message is available.

*External message is available.

*Delivered message is available.

U privitku obično bude nešto ovog tipa:

Attachment:

. abuses.pif

. all_pictures.pif

. corrected_doc.pif

. document1.pif

. hurts.pif

. image034.pif

. loveletter02.pif

. my_stolen_document.pif

. myabuselist.pif

. passwords02.pif

. pin_tel.pif

. visa_data.pif

. your_bill.pif

. your_letter.pif

. your_letter_03.pif

. your_picture.pif

. your_picture01.pif

. your_text.pif

. your_text01.pif

Slična situacija je i sa crvom WORM_BAGLE.Z, detalje možete pogledati na:

http://hr.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_BAGLE.Z&VSect=T

(treba se odskrolati još jedan ekran ispod navedene sekcije da bi se došlo

do opisa uobičajenih FROM: TO: SUBJECT: i MESSAGE BODY: polja)

Među preostalih pet najučestalijih napasnika u Hrvatskoj i Europi trenutno

spadaju:

1. WORM_MOFEI.B

2. HTML_NETSKY.P

3. WORM_NETSKY.P

4. PE_ELKERN.D

5. PE_VALLA.A

Dok je na globalnom planu razlika samo od prvoplasiranog do petoplasiranog

kandidata:

WORM_MOFEI.B </vinfo/virusencyclo/default5.asp?VName=WORM_MOFEI.B >

WORM_NETSKY.P </vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.P >

PE_ELKERN.D </vinfo/virusencyclo/default5.asp?VName=PE_ELKERN.D >

HTML_NETSKY.P </vinfo/virusencyclo/default5.asp?VName=HTML_NETSKY.P >

PE_VALLA.A </vinfo/virusencyclo/default5.asp?VName=PE_VALLA.A >

1. WORM_MOFEI.B <--

2. WORM_NETSKY.P <--

3. PE_ELKERN.D <--

4. HTML_NETSKY.P <--

5. PE_FUNLOVE.4099 <--

[Lista]

Brzi linkovi

Politika korištenja helpdeska
Paketi
Savjeti o sigurnosti

	Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
	Copyright ©2005. CARNet. Sva prava zadržana. Impressum. Mail to sys-portal@CARNet.hr