| Home | H Eταιρεία | Προϊόντα | Support | Downloads | Αντιπρόσωποι | Links |
|
|
|
||||||||
|
|
|||||||||
|
|||||||||
Το worm Bugbear (γνωστό και σαν Tanatos) ανιχνεύθηκε για πρώτη φορά τη Δευτέρα 30 Σεπτεμβρίου. Από τότε εντοπίστηκε σε δεκάδες χώρες και συνεχίζει να διαδίδεται με αυξανόμενο ρυθμό. Τα τωρινά στατιστικά στοιχεία δείχνουν ότι ο Bugbear/Tanatos έχει περάσει τον Klez σαν τον πιο διαδεδομένο ιό στον κόσμο. Ο Klez ήταν ο πιο διαδεδομένος ιός για σχεδόν ολόκληρο το 2002.
Ο Bugbear είναι ένα mass mailer worm για Windows το οποίο διαδίδει τον εαυτό του μέσα σε μολυσμένα συνημμένα αρχεία e-mail, εκτελώντας μερικές φορές το αρχείο αυτόματα. Επίσης προσπαθεί να διαδοθεί χρησιμοποιώντας τα fileshares των Windows. Μια παρενέργεια αυτού είναι ότι ο ιός μερικές φορές τυπώνει μεγάλες ποσότητες κειμένου χωρίς νόημα σε εκτυπωτές δικτύου.
Το worm επίσης προσπαθεί να τερματίσει διάφορα antivirus και firewalls. Μόλις ένα μηχάνημα μολυνθεί μπορεί να ελεγχθεί από απόσταση μέσω μιας πίσω πόρτας, δίνοντας τη δυνατότητα στον hacker να κλέψει και να διαγράψει πληροφορίες από τον υπολογιστή.
Λειτουργία ιού
Το worm έχει τη δυνατότητα να παίρνει παλιά e-mail από ένα μολυσμένο σύστημα και να τα στέλνει σε τυχαίες διευθύνσεις. Αυτό σημαίνει ότι προσωπικές διευθύνσεις μπορούν να αποκαλυφθούν σε τρίτα άτομα. "Η προώθηση παλιών e-mail είναι στην πραγματικότητα ένα κοινωνικό τρικ", σχολιάζει ο Mikko Hypponen, manager του Anti - virus research της F-Secure. "Όταν κάποιος λάβει ένα τέτοιο e-mail θα μπερδευτεί από το περιεχόμενο και θα ανοίξει τι συνημμένο αρχείο μόνο και μόνο για να καταλάβει τι σημαίνει - και επομένως θα μολυνθεί".
Μερικά e-mail που στέλνονται από τον Bugbear χρησιμοποιούν την αδυναμία IFRAME. Αυτό σημαίνει ότι σε συστήματα Windows χωρίς τα patches ασφαλείας το συνημμένο αρχείο με το worm θα εκτελεστεί αυτόματα μόλις το e-mail διαβαστεί ή ανοιχτεί. Αυτό δημιουργεί περαιτέρω σύγχυση και καθιστά δύσκολο να προειδοποιηθούν οι χρήστες για αυτό το πρόβλημα.
Το worm διαδίδεται αποτελεσματικά και μέσω ενός τοπικού δικτύου χρησιμοποιώντας τα εσωτερικά e-mail. Το worm θα ανιχνεύσει όλα τα shares του δικτύου και θα προσπαθήσει να αντιγράψει τον εαυτό του σε αυτά. Σε υπολογιστές που τρέχουν Windows και έχουν το σκληρό δίσκο μοιρασμένο για άλλους χρήστες ο ιός αντιγράφει τον εαυτό του στο φάκελο Startup έτσι να ξεκινά μόλις ανοίξει και ο υπολογιστής. Το worm θα προσπαθήσει να αντιγράψει το εαυτό του σε όλους του τύπους πόρων του δικτύου συμπεριλαμβανομένου και των εκτυπωτών. Οι εκτυπωτές δεν μπορούν να μολυνθούν όμως προσπαθούν να τυπώσουν τον δυαδικό κώδικα του ιού με αποτέλεσμα δεκάδες ή και εκατοντάδες άχρηστες σελίδες.
Το worm προσπαθεί να τερματίσει διάφορα processes
στη μνήμη του μολυσμένου υπολογιστή συμπεριλαμβανομένων και αυτά
των πιο δημοφιλών Anti virus. Το worm δεν επηρεάζει τη σειρά F-Secure
Anti-Virus v5.x. Σε κάθε περίπτωση το worm μπορεί να επιτεθεί σε
προϊόντα ασφαλείας αν εκτελεστεί πρώτο και ένα σύγχρονο πρόγραμμα
ασφαλείας δεν θα επιτρέψει κάτι τέτοιο να γίνει. "Καθώς αυτό
το worm είναι ήδη πολύ διαδεδομένο υπάρχουν ήδη χιλιάδες υπολογιστών
στον κόσμο χωρίς προστασία από ιούς καθώς το worm έχει απενεργοποιήσει
το Anti virus."
Το worm εγκαθιστά μια πίσω πόρτα σε όλα τα μολυσμένα συστήματα.
Αυτή την πίσω πόρτα μπορεί να εκμεταλλευτεί ένας hacker και να συνδεθεί
με τον υπολογιστή χρησιμοποιώντας έναν web browser. To worm θα δείξει
ένα web περιβάλλον μέσω του οποίου ένας hacker μπορεί να δει τοπικά
αρχεία και να εκτελέσει προγράμματα. "Δεν έχουμε ξαναδεί μια
τόσο ολοκληρωμένη πίσω πόρτα σε worm ξανά." λέει ο Mikko Hypponen.
"Ευτυχώς δεν είναι εύκολο για τον καθένα να πετύχει τέτοια
αποτελεσματικότητα".
Μια λεπτομερή τεχνική περιγραφή του ιού μαζί με screenshots είναι διαθέσιμα στη διεύθυνση http://www.f-secure.com/bugbear/
To F-Secure Anti Virus 5.40 μπορεί να ανιχνεύσει, να σταματήσει και να καθαρίσει τον Bugbear ακόμα και αν το σύστημα είναι ήδη μολυσμένο με αυτόν.