Internet

Prosječni korisnik interneta sa nostalgijom se sjeća prošlih vremena, u kojima mu je u inbox stizala samo željena pošta, a pojava virusa na nečijem kompu doživljavala se poput senzacije. Danas se sa virusima susrećemo pri svakom otvaranju outlooka, a dolazak na net bez aktivnog AV programa u većini slučajeva znači zarazu koje korisnik računala uopće ne mora biti svjestan.

U tekstu koji slijedi napisat ću neke informacije o trenutno aktualnim virusima, jer, kao i protiv RL virusa, i protiv ovih se morate boriti cjepivom (AV programi) ali i znanjem.

Bagle

W32 crv koji već dulje vrijeme hara internet prostorom pod imenom Bagle dolazi na računalo korisnika putem e-mail poruka u kojoj se u privitku (attachmentu) nalazi komprimirana datoteka zaštićena lozinkom koju možete naći unutar teksta mail poruke. U prvoj verziji Bagle se pojavio početkom godine, a aktiviranjem programa iz privitka vaše bi računalo bez vašeg znanja nekontrolirano počelo slati zaražene mailove na sve adrese iz adresara.
KAo i većina ostalih virusa i ovaj se, stano mutirajući, ponovo pojavljuje u novim verzijama što se pojačalo početkom ovoga mjeseca kada su autori objavili izvorni kod virusa što je, mnogima koji to žele, omogućilo da se okušaju i u toj vrsti programiranja stvarajući svakodnevno nove verzije.

Najnovije verzije crva Bagle pojavile su se sredinom mjeseca sa nazivima Bagle.AF, Bagle.AH, Bagle.AG a razlika u odnosu na starije verzije se očituje u načinu komprimiranja da bi se izbjeglo prepoznavanje od strane AV programa.
Nove verzije virusa također šalju mailove na sve adrese koje virus pokupi sa zaraženog računala iz datoteka slijedećih ekstenzija: WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM, JSP, a za slanje mailova koriste svoju vlastitu SMTP rutinu, zbog čega je nemoguće otkriti sa kojeg je račulala virus stigao do vas.

Većina proizvođača AV programa ovaj virus označava srednje opasnim, a izbjeći ga možete uz oprez prilikom otvaranja mailova sa ZIP datotekama u privitku, kao i redovitom nadogradnjom antivirus programa.

Lovegate

Posljednja varijanta Lovegate crva ostatak je davnih vremena kada je infekcija malicioznim programom za sobom uvijek povlačila reinstalaciju barem dijela aplikacija, pa čak i operativnog sustava. Lovegate-AE i Lovegate-AH ponovo su ovdje.

Prve varijante Lovegate crva detektirane su početkom 2003, nakon čega su mutirale više od tridesetak puta. Posljednje dvije varijante kao i njihovi prethodnici šire se putem elektroničke pošte, prikupljajući sve adrese na inficiranom računalu. Jednom aktiviran, Lovegate pokreće i backdoor komponentu, koja zlonamjernom korisniku omogućuje potpunu kontrolu nad računalom i pristup svim dokumentima i podacima. Inficirano računalo sposobno je i samostalno zaraziti ostala računala na mreži – iskorištavajući godinu dana star sigurnosni propust koji je postao slavan zahvaljujući crvu Blasteru. No najveći problem Lovegate crva jest sposobnost zamjene .exe datoteka vlastitom kopijom, što efikasno onesposobljava brojne aplikacije. Na žalost, u ovakvim situacijama jedino što preostaje jest reinstalacija pogođenih aplikacija, a ukoliko je detektirana i aktivna backdoor komponenta, preporučuje se i reinstalacija cijelog računala.

Lovegate crv zapravo je atavizam iz razdoblja kada su računalima harali virusi čija je namjena najčešće bila inficiranje izvršnih datoteka. Dezinfekcija ovakve datoteke ponekad je bila uspješna, no u većini slučajeva reinstalacija i povratak podataka s backup medija bio je jedini siguran način uklanjanja zaraze.

Kao i kod ostalih, i za ovaj veoma opasni virus vrijedi pravilo prema kojem ne treba otvarati privitke poruka koje izgledaju sumnjivo. Ukoliko nisu sigurni što potencijalno opasan privitak sadržava, preporučuje se njegov pregled antivirusnim programom prije samog pokretanja.

Sasser.B

Jedan od virusa koji mozete "pobrati" nevinim surfanjem po internetu Sasser, širi se koristeći sigurnosni propust u Windowsima (LSASS-a) za kojega je Microsoft izdao "zakrpu" prije nešto više od dva tjedna.

Iako je rečeni sigurnosni propust prisutan u praktički svim Microsoftovim operativnim sustavima, Sasser je sposoban inficirati samo Windowse 2000 i Windowse XP. Korisnici Windows Servera 2003, Windowsa NT 4.0, Windowsa 98 i drugih za sad nisu ugroženi, no imajte na umu da bi se to moglo promijeniti u novim verzijama Sassera.

Sasser saminicijativno pristupa računalu priključenom na Internet i ukoliko računalo nema instaliranu sigurnosnu "zakrpu" koristi sigurnosni propust inficirajući vaše računalo bez vašeg znanja. Nakon inficiranja, on prekida vezu sa Internetom, restartira računalo i to ponavlja pri svakom novom pristupu Internetu. Brzina inficiranja je, po nekim statističkim podacima, dvije minute nakon priključivanja na Internet.

Zaštita je, kao i uvijek, ista – skinite najnovije sigurnosne zakrpe s Windows Updatea i redovito nadograđujte svoj antivirusni program. Ako je vaše računalo već inficirano Sasserom, slijedite upute za uklanjanje na web-stranicama proizvođača antivirusnog programa kojeg koristite.

Za detaljnije informacije o svemu ovome možete pogledati Microsoftove informacije o Sasseru i Microsoftove informacije o sigurnosnom propustu kojega Sasser iskorištava.

MyDoom

Naravno, i legendarni MyDoom je u ovim vrućim ljetnim danima dobio svoju novu inačicu, koju Sophos naziva W32/MyDoom.o, a čije su žrtve jučer nakratko bile i velike tražilice. Google, Altavista i Yahoo slamali su se na trenutke pod teretom upita zaraženih PC-a.

Naime, MyDoom je inače kombinacija crva i trojanca čija je osnovna zadaća da svojim tvorcima pribavi što više mail adresa.
Očito, pisci crva su shvatili kako im zombi računala zaražena njihovim uratkom mogu donijeti više e-mail adresa ako, nakon što ukradu adrese sa zaraženog PC-a, iskoriste njegovu vezu na Internet i bandwidth kako bi upitali za još e-mail adresa velike search engine. Naravno to sve za posljedicu ima enormne količine spam-a koje redovito stižu u naše inbox-ove.


Nakon skeniranja diska zaraženog računala u potrazi za ekstenzijama za koje postoji šanse da sadržavaju e-mail adrese (PL*, PH*, TX*, HT*, ASP, TBB, SHT*, WAB, ADB i DBX), crv šalje upit tražilicama s domenama koje je ekstrahirao iz e-mail adresa na računalu i zatim analizira rezultate vadeći iz njih upotrebljive adrese. Zanimljivo, autori su se potrudili rasporediti opterećenje prema snazi, pa vjerojatnosti korištenja neke od sljedećih tražilica izgledaju ovako:
google.com -- 45%
search.lycos.com -- 22.5%
search.yahoo.com -- 20%
altavista.com -- 12.5%

MyDoom se također širi mailom a proljetos je zaveo pomutnju među internet korisnicima, jer lažira informacije o tome odakle dolazi stavljajući u polje From u mailu adrese ili kombinacije više adresa koje je pokupio na zaražemnom računalu.
Zaštita je ista kao i za sve druge. Oprez pri otvaranju mailova i redovita nadogradnja AV programa.

Netsky

Još jedan crv koji uporno već više mjeseci zatrpava naše mail sandučiće, pojavljujući se uvijek u novim i novim varijantama. Poput ostalih mail pošasti, širi se sam gotovo identično kao i MyDoom a što se zaštite tiče mogu se primjeniti sve radnje koje su ceć napisane za MYDoom, LOvegate i Bagle.

Hackarmy

Seks i smrt su dvije stvari na koje korisnici Interneta ne mogu ne kliknuti, čini se - kao što je prije nekog vremena ogroman uspjeh požnjeo crv koji se predstavljao kao slika tenisačice Kournikove, sada opasnost predstavlja trojanski konj koji obećava slike samoubojstva Osame bin Ladena. Koliko je poznato, bin Laden se još uvijek nije ubio - u stvarnosti, poruka vodi naivne korisnike na stranicu s koje će pokupiti Hackarmy trojanskog konja, nakon čega i njihov zombi-PC može poslužiti malicioznim napadačima za distribuciju spam poruka.

Kuriozitet kod ovog trojanskog konja je u napadu socijalnim inženjeringom putem Usenet grupa - velik broj poruka u kojima se lažno tvrdi kako je Osama pronađen obješen ukazuje na to da su autori trojana željeli podići kredibilitet svojoj priči.

Na sreću, ovaj trojanac poznat je Sophosu od prvog mjeseca ove godine, što znači kako i zastarjeli antivirusni softver štiti od ovog napada.

Korgo

Sve varijante Korgo crva šire se iskorištavanjem sigurnosnog propusta na računalima s Windows 2000 ili XP operativnim sustavom. Zakrpu za ovaj propust Microsofta je izdao još tijekom travnja ove godine, no čini se da je dobar dio korisnika ipak odlučio ne primijeniti je. Sigurnosni propusti opisani u dokumentu pod šifrom MS04-011, a zapravo je riječ o istom propustu kojeg koristi i najpopularniji malware prošlog mjeseca, crv Sasser. Nažalost, čini se da ni pojava niza malicioznih programa koji iskorištavaju sigurnosne propuste nije korisnike nagnala da redovito primjenjuju zakrpe.

Način djelovanja Korgo crva pokazuje da pisci malicioznih programa uče na vlastitim greškama i prilikom izrade malicioznog koda primjenjuju metode širenja koje su se pokazale posebno uspješnima u praksi. Također, uz deaktivaciju antivirusnih programa i sličnih aplikacija koje su sposobne detektirati prisutnost malwarea na računalu, nova generacija crva, virusa i trojanaca koristi još jedan lukavi trik: modifikacijom hosts datoteke onemogućuje pristup stranicama antivirusnih tvrtki s inficiranog računala. Ovaj potez u praksi omogućuje uspješnu blokadu od autora odabranih web stranica kojima vlasnik računala neće moći pristupiti sve dok ne ukloni nametnika.

Kao što je već bilo riječi, upravo ova zakrpa na svjetlo dana iznosi dilemu mnogih: krpati i riskirati nestabilnost sustava ili ne primijeniti zakrpu i nadati se da će ostale komponente zaštite sustava biti dovoljne za izbjegavanje crva. Naime, upravo zakrpa MS04-011 može stvoriti poprilične glavobolje vlasnicima Windows 2000 i Windows 2000 Server računala.

Iz Symanteca objavljuju da su za Korgo-F crva povećali stupanj opasnosti zbog povećanog broja obavijesti o detekcijama od njihovih korisnika. No, prema istim tvrdnjama, opasnost se još ne smatra kritičnom.

www.symantec.com
www.sophos.com
http://windowsupdate.microsoft.com

Pe_Zafi.B

Crv koji je prema Sophosovim statistikama poharao gotovo tri puta više računala od Netsky-P varijante u lipnju nosi ime W32/Zafi-B, a širi se putem elektroničke pošte i Peer2peer mreža poput Kazaa i sličnih. Ako se uspije infiltrirati na računalo, Zafi-B kreirat će izvršnu datoteku s nasumično generiranim imenom te će unošenjem ključeva u registry osigurati njegovo pokretanje usporedno s pokretanjem operativnog sustava. Naravno, sam crv prikupit će sve e-mail adrese koje može iz datoteka s ekstenzijom HTM, WAB, TXT, DBX, ASP, EML i sličnima te će sve pronađeno ubaciti u .dll datoteku s također nasumično odabaranim imenom.

No, proces infiltracije ovdje ne prestaje jer je Zafi sposoban detektirati i postojanje peer to peer servisa, odnosno lokacije dijeljenih direktorija u koje će ubaciti vlastite kopije nazvane po trenutno aktualnim i zanimljivim aplikacijama (npr. Winamp v 7.0 full install).

Zafi-B virus trenutno je daleko ispred konkurencije po broju zaraženih računala

Glavni cilj Zafi-B crva daljnje je širenje vlastitih kopija i poruke koja kritizira neke odluke mađarske vlade. Da bi ga se uklonilo s inficiranog računala bit će potrebno deaktivirati proces, ukloniti datoteku koju kreira crv te u registry grani HKLMSoftwareMicrosoftWindowsCurrentVersionRun ukloniti referencu na izvršnu datoteku malicioznog programa. Automatsko uklanjanje pomoću posebno pripravljenog alata koji se može pronaći na adresama www.sophos.com/support/disinfection/zafib.html i  www.sophos.com/virusinfo/analyses/w32zafib.html ipak je možda najbezbolnije rješenje problema.

Danas većina davatelja internet pristupa, u sklopu svojih usluga nudi antivirus kao i antispam zaštitu, koju svakako treba iskoristiti. Obično je potrebno na svome korisničkom računu odabrati uključivanje tih opcija koje bi trebale biti besplatne. No samo to nije dovoljno da bi vas zaštitilo od virusa. To je samo jedna od mjera koja, uz ove sve ostale navedene, vašu upotrebu interneta može učiniti relativno sigurnom.