Papildoma informacija apie viruso versiją “Tanatos.b”
Kaip pranešė “Kaspersky Laboratorija” buvo aptikta nauja kirmino “Tanatos” versija: Tanatos.b (aka Bugbear.b). Ši kirmino versija turi eilę labai pavojingų destrukcinių funkcijų. Pavyzdžiui, ji gali užkrėsti vykdančiuosius programų failus, esančius kietojo kaupiklio atmintyje, be to, iš užkrėsto kompiuterio gali nutekėti konfidenciali informacija. Šiuo metu Lietuvoje yra labai daug kompiuterių užsikrėtusių virusu Tanatos.b.
Internetinis kirminas Tanatos.b plinta per elektroninį paštą su įdėtu (attach) failu. Be to, laiškas gali turėti skirtingas antraštes, turinius, bei įdėtų failų pavadinimus. Destrukcinis kodas aktyvuojasi, kai yra paleidžiamas failas-viruso nešiotojas. Po to kirminas užkrečia kompiuterį ir aktyvuoja plitimo funkciją. Failo-viruso nešiotojo paleidimui yra naudojami keli būdai: automatinis, per IFRAME „skylę“ Internet Explorer apsaugos sistemoje, per lokalų tinklą ir vartotojų „pagalba“.
Tanatos.b kopijuoja save į automatinių paleidimų direktoriją atsitiktiniu pavadinimu, sukuria savo failą Windows sisteminiame kataloge ir perkelia savo kopijas į Windows ir laikinų failų direktorijas.
Vėliau, naudojant įdiegtą SMTP-variklį, kirminas vykdo plitimo procedūras. Plitimui per Internetą kirminas skenuoja pasiekiamus kaupiklius ir ieško naujų adresų failuose su išplėtimais: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.
Ši kirmino versija turi kelias labai pavojingas funkcijas. Tanatos.b užkrečia vykdomuosius Windows operacinės sistemos failus. Tarp populiariausių objektų, kuriuos užkrečia Tanatos.b – labiausiai naudojamų programų vykdomieji failai: Outlook Express, Internet Explorer, WinZip archyvatorius, failų apsikeitimo sistema KaZaA, žinučių siuntimo sistemos ICQ ir MSN Messenger, duomenų perdavimo protokolai FTP ir CuteFTP; ACDSee, Adobe Acrobat, Adobe Acrobat Reader, Windows Media Player ir kitos programos.
Be to, i šios programos kodą įmontuota backdoor-programa, leidžianti šio viruso kūrėjams valdyti užkrėstą sistemą ir prileidžianti prie konfidencialios informacijos resursų. Tam, kad realizuoti backdoor-programą, kirminas „atidaro“ 1080 portą (prievadą). Per šį prievadą kirminas gali atlikti tokius veiksmus:
– perduoti informaciją apie kaupiklio turinį;
– kopijuoti, vykdyti ir trinti failus;
– informuoti apie aktyvias aplikacijas, uždarinėti jas;
– atsiuntinėti failus iš nutolusių kompiuterių, persiuntinėti viruso kūrėjams informaciją, renkamą klaviatūroje;
– kurti http serverį.
To pasekoje, užkrėsto kompiuterio savininko konfidenciali informacija (pavyzdžiui elektorninio pašto žinutės) gali buti išsiųsta kartu su prisegtu virusu absoliučiai visais elektroniniais adresais, kuriuos virusas randa vartotojų kompiuteryje.
Priminsime, kad pirmoji Tanėtos kirmino versija atsirado 2002 metų rugsėjo mėnesį. Tuo metu kirminu užsikrėtė labai daug kompiuterių vartotojų visame pasaulyje. Tanatos.a jungė savyje tinklinio viruso ir „trojano“ funkcijas, kas darė šį kirminą labai pavojinga programa, sukeliančia konfidencialios informacijos nutekėjimą.
Panašu, kad naujoji kirmino versija sukels dar didesnę epidemiją.
Naujoji kirmino versija – tai vykdomasis Windows failas, kurio dydis apie 72 KB. Jis suspaustas UPX ir papildomai užkoduotas, sukurtas Microsoft Visual C++ programavimo kalba.
Parengta pagal
Kaspersky Labs atstovybės Lietuvoje
UAB “Aideta” medžiagą.
