Zagrożenia

Ochrona komputera

Autorzy strony

Najnowsze zgrożenia

Krótki opis najnowszych zagrożeń

 

  • Worm.P2p.Palevo.Enpd

Opis ogólny

Robaki Worm.P2P.Palevo to rodzina niebezpiecznych programów potrafiących przechwytywać informacje z zainfekowanego systemu i przesyłać je do innych programów/botów współpracujących z nimi.

Zasada działania

Robaki Worm.P2P.Palevo rozprzestrzeniają się w systemach 32-bit korzystając z sieci P2P, a także napędów USB poprez
kopiowanie swojego kodu i wpisy w pliku autorun.inf uruchamiające je. Worm.P2P.Palevo jest wykrywany w kluczach rejestru:

[HKEY_LOCAL_MACHINE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Taskman="c:\Recycler\S-1-5-21-0839346990-6652710400-120536083-0614\nissan.exe"
(wskazuje na kod robaka umieszczony w koszu na dysku)

Robak udostepnia skryptowe polecenia, które umożliwaija mu wykonywanie zdalnych poleceń. Moze posłużyć do przygotowania ataków
sieciowych typu Denial Of Service.

Zalecane działanie

Usunięcie pliku Robaka zanim zostanie uruchomiony zapobiega rozprzestrzenianiu infekcji i chroni przed możliwą utratą
poufnych danych.

 

  • Downloader.Agent.Family

Opis ogólny

Trojany są programami, które zawierają w swoim kodzie ukryte funkcje - szkodliwe dla użytkownika systemu komputerowego.

Zasada działania

Trojany z rodziny Downloader.Agent.Family to grupa trojanów instalujących się na komputerze i pobierająca z internetu inne trojany lub szkodliwe pliki. Najczęściej trojan jest uruchamiany przy każdym uruchomieniu systemu Windows za pośrednictwem wpisów w rejestrze systemu.

Przykładowy klucz:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Pliki trojana mogą być umieszczone w folderach

(zależnie od odmiany, lista nie wyczerpuje wszystkich możliwości):

 

C:\Windows\

C:\Windows\system32

C:\Windows\Temp

Zalecane działanie

Niezwłoczne usunięcie pliku trojana Downloader.Agent.Family zanim pobierze i zainstaluje inne trojany.

 

  • W32.Sality

Opis ogólny

Wirusy są programami, które zawierają w swoim kodzie ukryte funkcje - szkodliwe dla systemu komputerowego.

Zasada działania

Wirusy z rodziny W32.Sality to grupa wirusów polimorficznych. Potrafią one samodzielnie modyfikować swój kod deszyfrujący w trakcie każdej pojedynczej infekcji kolejnego pliku, co znacznie utrudnia ich wykrywanie przez programy antywirusowe.

Do infekcji dochodzi poprzez uruchomienie zainfekowanego pliku. Plik instaluje w pamięci komputera szkodliwy kod, który utrudnia użytkownikowi normalną pracę blokując dostęp do wybranych programów. Ogranicza to w znacznym stopniu możliwość wykrycia i usunięcia go przez użytkownika podczas pracy na zainfekowanym systemie Windows.

Cechy charakterystyczne

 Wirus infekuje pliki .EXE oraz .SCR o rozmiarze do 40MB. Może rozprzestrzeniać się zarażając zasoby dysków sieciowych, a także popularnych dysków pendrive poprzez dopisanie uruchomienia wirusa do pliku startowego autorun.inf. Najczęściej daje znać o sobie blokując dostęp do Edytora rejestru Windows Regedit oraz Menadżera zadań taskmgr. Swoje niszczycielskie procedury instaluje jako usługę sterownika w systemie windows, aby zabezpieczyc się przed usunięciem z pamięci oraz dysku dodając wpis w nastepującym kluczu rejestru:

HKLM\SYSTEM\CurrentControlSet\Services\abp470n5
(abp470n5 przykładowa nazwa zależna od odmiany wirusa)

HKCU\Software\nazwa_komputera3_losowe_znaki

oraz dodaje wpis w pliku system.ini:

[MCIDRV_VER]
DEVICEMB=losowa wartość liczbowa

W ramach swojej działalności próbuje łączyć się z zainfekowanymi stronami i pobierać inne złośliwe oprogramowanie typu Trojan, Adware itp. Przykładowe adresy stron:

http://klkjwre77638dfqwieuoi888.info
http://kukutrustnet777888.info
http://www.klkjwre9fqwieluoi.info

Usuwa pliki z rozszerzeniami .VDB i .AVC

Modyfikuje klucze rejestru w celu osłabienia sbudowanych zabezpieczeń systemu Windows:

HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverride = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify = dword:00000001
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"<infected filename>" = "<infected filename>:*:Enabled:ipsec"
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Setting\GlobalUserOffline = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools = dword:00000001

Wyłącza pokazywanie plikow ukrytych przez Eksplorator Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

oraz wyłącza usługę systemowego Firewalla oraz usługi popularnych programów zabezpieczających.
Zatrzymuje procesy i usuwa pliki programów zabezpieczających.
Filtruje także dostęp do stron twórców programów antywirusowych w celu utrudnienia pobrania narzędzi, czy opisu swojej działalności:


Zalecane działanie

 Usunięcie pliku wirusa zanim zostanie uruchomiony i wprowadzi do systemu inne szkodliwe oprogramowanie wymagające dedykowanych i złożonych procedur usuwania.

 

  • Trojan.Gamethief.Magania

Podstawową funkcją realizowaną przez szkodliwie obiekty z rodziny Gamethief.Magania jest wykradanie istotnych informacji dotyczących aktywności użytkownika w grach online.

Pliki trojana zazwyczaj znajdują się w głównych katalogach dysków, np.:

C:\bd3q0qix.exe

C:\cxvjth.exe

itp. (powyższe nazwy są jedynie przykładami - trojan potrafi generować losowe nazwy w momencie infekowania systemu).

Do infekcji dochodzi np. poprzez uruchomienie fałszywego crack-a, który w rzeczywistości jest "instalatorem" trojana.

Wybrane warianty z rodziny dodatkowo posiadają funkcję downloader'a pozwalającą im na pobieranie dodatkowych komponentów.

 

  • Worm.Autorun.Family

Informacje ogólne

Rodzina robaków Worm.Autorun wykorzystuje do rozprzestrzeniania wykorzystywany powszechnie w systemach Windows mechanizm autoodtwarzania mediów. Zainfekowane nośniki (zwłaszcza napędy USB) zawierają specjalnie spreparowany plik autorun.inf, który odpowiada za automatycznie uruchomienie wskazanej aplikacji po podłączeniu napędu do komputera.

Oto przykładowa zawartość pliku autorun.inf wykorzystywanego przez robaka:

[AutoRun]

open=g8k.exe

shell\open\Command=g8k.exe

W powyższym przykładzie system automatycznie uruchamia plik robaka o nazwie g8k.exe znajdujący się w katalogu głównym podłączanego nośnika.

Infekcja systemu w większości przypadków polega na zapisaniu w głównych katalogach wszystkich dysków dostępnych w systemie kopii pliku autorun.inf oraz kopii plików robaka.

Dodatkowe mechanizmy wykorzystywane przez robaka

W zależności od wersji robak dodatkowo uaktywnia mechanizm ukrywający fakt infekcji systemu. Wybrane warianty tworzą również pomocnicze procesy w systemie, których zadaniem jest uniemożliwienie prostego wyleczenia systemu poprzez zakończenie procesu robaka i usunięcie plików robaka z dysku. W tym celu tworzone są procesy o nazwach zbliżonych do nazw procesów systemowych, np.:

C:\windows\svchosts.exe

C:\windows\service.exe

C:\windows\servet.exe

Itp.

Większość wariantów robaków z rodziny Worm.Autorun potrafi również pobrać z Sieci nowsze wersje plików infekujących system.

Funkcje realizowane przez robaka

Najczęściej spotykaną funkcją realizowaną przez robaka jest masowa wysyłka poczty (spam). Zainfekowany system staje się zatem częścią botnet-u służącego do ukierunkowanego spamowania wybranych grup.

 

  • Mazben.hi

Opis ogólny

Backdoor są to niebezpieczne programy, które ukrywając swoją obecność w systemie umożliwiają zdalny dostęp do zaatakowanego komputera, przejmowanie cennych danych - jak loginy i hasła, lub wykonują inne niepożądane akcje bez wiedzy użytkownika.

Zasada działania

Backdoor.Mazben rozpzestrzenia się drogą internetową wykorzystując znane luki w systemie operacyjnym Windows.
Może pobierać  inne trojany z internetu. Wysyła spam za pośrednictwem komputera użytkownia (smtp-proxy).

Zalecane działanie

Usunięcie pliku Backdoor.Mazben zanim zostanie uruchomiony. Usuwanie działającego Backdoor'a może wymagać uruchomienia systemu w trybie awaryjnym lub ze specjalnej płyty/dysku zawierającego skaner antywirusowy.