Az összetett támadók hosszú sorának legutóbbi tagja speciális módszereket alkalmaz a vállalati hálózatok támadására. A féreg két módszerrel terjed:
– Saját SMTP motorját használva létrehoz egy fertőzött email üzenetet, változó nevű csatolt fájllal, a kiterjesztés COM, EXE, PIF vagy SCR. Ha a címzett rákattint az állományra, a féreg az ő gépén is megkezdi működését.
– A KaZaa fájlcserélőn keresztül terjedve változatos fájlneveket használ, melyek a végfelhasználót a féregprogram lefuttatására csábítják.
A gazdarendszert úgy módosítja, hogy újrainduláskor feltétlen elinduljon a Fizzer, emellett a Registry-ben a TXT fájlok megnyitásához is hozzárendeli a féregprogramot.
A Fizzer számos rosszindulatú programot helyez el a megfertőzött gépeken, hogy a féreg megalkotója hozzáférhessen a PC-k adataihoz és átvehesse távolról a vezérlést:
– IRC Remote Access trójai
Több IRC szervert is megpingel. Választ kapva különböző belső felhasználóneveken csatlakozik a szerver egy csatornájára, és további utasításokat vár a támadótól. Az alábbi IRC szerverek kerülnek sorra: irc2p2pchat.net, irc.idigital-web.com, irc.cyberchat.org, irc.othernet.org, irc.beyondirc.net, irc.chatx.net, irc.cyberarmy.com és irc.gameslink.net.
– AOL Instant Messenger trójai
Hozzákapcsolódik az AIM oldalához, s egy véletlenszerűen elnevezett felhasználóként regisztrálja magát. Ezután az AIM csevegő szerveréhez csatlakozik az 5190-es porton, és további utasításokra vár egy csevegő csoportban.
– Keylogger
Figyeli a billentyűleütéseket és azokat a Windows könyvtárában, egy titkosított, iservc.klg nevű fájlban tárolja.
– KaZaa féreg
A Registryből kiolvassa a KaZaa letöltő-könyvtárának címét, s véletlenszerűen választott néven bemásolja oda magát.
– HTTP Szerver
HTTP szervert futtat a 81-es porton a féreg, amely parancs-konzolként működik, s információt – rendszeridő, kapcsolódási adatok, OS verzió, IRC és AIM adatok – jelenít meg a fertőzött rendszerről. Arra is módot ad a támadónak, hogy bizonyos folyamatokat, mint például DoS támadás, levélterjesztés, AOL/IRC bot parancsok, és az antivírus szoftverek kikapcsolása, elindítson.
– Remote Access Server (A féreg RAS szervere a 2018, 2019, 2020 és 2021 portokat figyeli.)
A McAfee Security több szinten véd a Fizzer ellen:
– A Groupshield és a Gateway Appliance rendszerek a csatolt fájlok neve alapján blokkolják az email üzeneteket.
– A Desktop Firewall blokkolja a féreg által használt portokat.
– A ThreatScan egy skálán megmutatja a hálózat fertőzöttségét.
– A McAfee termékek megtalálják és eltávolítják a támadót.
– Az AVERT elkészítette Stinger nevű ingyenes féregirtó célprogramjának egy új változatát, http://vil.nai.com/vil/stinger/ amely a Fizzert is megtalálja és sikerrel eltávolítja.
Az AVERT webhelyén a Fizzer részletes angol ismertetője a http://vil.nai.com/vil/content/v_100295.htm címen található. A május 8. óta ismert féreg azonosításához szükséges adatok a 4263-as DAT fájlokba kerülnek be. A gyanús mintákat az AVERT www.webimmune.net weboldalán várják.
Az AVERT Kutató Központról:
A McAfee AVERT (Anti-Virus Emergency Response Team) a világ egyik vezető vírusirtó kutatószervezete, mely 16 országban foglalkoztat kutatókat. Alapvető feladatunk a számítógéphasználók és a Network Associates ügyfelek támogatása. A legújabb fenyegetések kutatásával elősegítjük, hogy a felhasználók nagyobb biztonságban dolgozhassanak. Az AVERT célja nem a félelemkeltés, hanem a tanácsadás és a figyelemfelhívás.
A McAfee Security-ről:
A McAfee Security a Network Associates üzletága, amely a vállalatokat biztonsági rések, vírustámadások és vegyes fenyegetések ellen védi. A McAfee Security átfogó hálózati védelmet kínál vírusirtó, kódolási, desktop tűzfal, behatolás érzékelő, sérülékenység elemző és menedzselt biztonsági technológiák segítségével.
További információ a McAfee Security termékekről: http://www.mcafeesecurity.com.
A Network Associates termékei régóta ismertek és használatosak Magyarországon. 2000 óta a Network Associates képviseleti irodát tart fenn hazánkban.
—
PR ügynökség:
Szezám Kommunikációs Kft.
Ügyvezető: dr. Szekfű András
Tel: 438-0650
Fax: 315-1983
szezam@szezam.hu
www.szezam.hu
Nézd meg a legfrissebb cikkeinket a címlapon!
