Το Εργαστήριο Καταπολέμησης Ιών της Panda Software εντόπισε τις παραλλαγές B και C του worm Bobax, δύο νέες μορφές εχθρικού κώδικα οι οποίες ακολουθούν το Bobax.A, που εντοπίστηκε μερικές μέρες πριν. Σαν αποτέλεσμα, η πιθανότητα μόλυνσης υπολογιστών από ένα worm της οικογένειας Bobax έχει αυξηθεί σημαντικά.
Όμοια με την οικογένεια των worms Sasser, οι τρεις παραλλαγές Bobax εκμεταλλεύονται το πρόβλημα ασφάλειας LSASS των Windows για να εξαπλωθούν. Αυτά τα worms προσπαθούν να προσπελάσουν μεγάλο αριθμό διευθύνσεων IP για να εξακριβώσουν εάν οι υπολογιστές στους οποίους ανήκουν αυτές οι διευθύνσεις έχουν το πρόβλημα ασφάλειας LSASS.
Εάν εντοπίσουν έναν υπολογιστή μ΄ αυτό το πρόβλημα, τα worms Bobax στέλνουν στον επηρεαζόμενο υπολογιστή οδηγίες για την μεταφορά ενός αντιγράφου του worm. Επίσης, όταν οποιοδήποτε από τα worm Bobax εκμεταλλεύεται το πρόβλημα ασφάλειας LSASS, προκαλείται μία κατάσταση υπερχείλισης buffer (buffer overrun), η οποία με την σειρά της προκαλεί την επανεκκίνηση του επηρεαζόμενου υπολογιστή.
Αν και το πρόβλημα ασφάλειας LSASS επηρεάζει μόνο συστήματα με τα Windows XP και 2000, τα worms Bobax μπορούν επίσης να εξαπλώνονται και σε άλλες πλατφόρμες Windows. Ωστόσο, σ΄ αυτή την περίπτωση τα worms δεν εξαπλώνονται αυτόματα σε υπολογιστές, αλλά αντίθετα ο χρήστης πρέπει να εκτελέσει ένα αρχείο το οποίο περιέχει ένα αντίγραφο του Bobax για να επέλθει η μόλυνση του συστήματος.
Αφού εγκατασταθούν σ΄ έναν υπολογιστή, τα worms Bobax ανοίγουν αρκετές, τυχαία επιλεγμένες θύρες επικοινωνίας, οι οποίες δίνουν σ έναν χρήστη την δυνατότητα να χρησιμοποιήσει τον επηρεαζόμενο υπολογιστή σαν SMTP server για την αποστολή ηλεκτρονικού ταχυδρομείου. Κατ΄ αυτό τον τρόπο, οι υπολογιστές που επηρεάζουν αυτά τα worms γίνονται "ζόμπι" για την αποστολή spam.
Επιπλέον, το Εργαστήριο Καταπολέμησης Ιών της Panda έχει εντοπίσει μηνύματα e-mail τα οποία μεταφέρουν το νέο Δούρειο Ίππο Ldpinch.W. Αν και δεν πρόκειται για μία εξαιρετικά επικίνδυνη μορφή ιού, εκμεταλλεύεται την επικαιρότητα - και συγκεκριμένα τον πόλεμο στο Ιράκ - για να ξεγελάσει τους χρήστες και να μολύνει τους υπολογιστές τους.
Το μήνυμα που μεταφέρει το Ldpinch.W έχει τα ακόλουθα χαρακτηριστικά:
Θέμα (Subject): Important news about our soldiers in IRAQ!!!
Μήνυμα: Seven officers was lost today, follow the link to get the full story. [Διεύθυνση Internet]
Συνημμένο αρχείο: IMPORTANT INFORMATION.ZIP, το οποίο περιέχει το αρχείο IMPORTANT INFORMATION.SCR.
Η διεύθυνση Internet που παρουσιάζεται στο μήνυμα περιλαμβάνει πληροφορίες για τον πόλεμο στο Ιράκ. Ωστόσο, εάν ο χρήστης τρέξει το συνημμένο αρχείο, Ldpinch.W, ο Δούρειος Ίππος θα εγκατασταθεί στον επηρεαζόμενο υπολογιστή.
Αυτός ο Δούρειος Ίππος είναι ειδικά σχεδιασμένος ώστε να κλέβει εμπιστευτικές πληροφορίες από το σύστημα και να τις στέλνει σε μία προκαθορισμένη διεύθυνση e-mail. Κατ αυτό τον τρόπο, ο δημιουργός του ιού μπορεί να χρησιμοποιήσει με οποιοδήποτε κακόβουλο τρόπο τα κλεμμένα δεδομένα.
Για να εμποδίσετε τον υπολογιστή σας να πέσει θύμα των worms Bobax ή του Ldpinch.W, η Panda Software σας συνιστά να λάβετε τα κατάλληλα μέτρα προφύλαξης και να διατηρείτε ενημερωμένη την λύση antivirus που χρησιμοποιείτε. Η Panda Software έχει κάνει ήδη διαθέσιμες στους πελάτες της τις απαιτούμενες ενημερώσεις για τα προϊόντα της.
Για να αποφύγετε επιθέσεις από το Bobax ή τις παραλλαγές του, είναι αναγκαίο να εγκαταστήσετε την διόρθωση της Microsoft που λύνει το πρόβλημα ασφάλειας LSASS. Μπορείτε να μεταφέρετε την διόρθωση από την διεύθυνση http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.
|