Stranica 1 od 2
Prosječni korisnik interneta sa nostalgijom se sjeća prošlih vremena, u kojima mu je u inbox stizala samo željena pošta, a pojava virusa na nečijem kompu doživljavala se poput senzacije. Danas se sa virusima susrećemo pri svakom otvaranju outlooka, a dolazak na net bez aktivnog AV programa u većini slučajeva znači zarazu koje korisnik računala uopće ne mora biti svjestan.
U tekstu koji slijedi napisat ću neke informacije o trenutno aktualnim virusima, jer, kao i protiv RL virusa, i protiv ovih se morate boriti cjepivom (AV programi) ali i znanjem.
Bagle
W32 crv koji već dulje vrijeme hara internet prostorom pod imenom Bagle dolazi na računalo korisnika putem e-mail poruka u kojoj se u privitku (attachmentu) nalazi komprimirana datoteka zaštićena lozinkom koju možete naći unutar teksta mail poruke. U prvoj verziji Bagle se pojavio početkom godine, a aktiviranjem programa iz privitka vaše bi računalo bez vašeg znanja nekontrolirano počelo slati zaražene mailove na sve adrese iz adresara.
KAo i većina ostalih virusa i ovaj se, stano mutirajući, ponovo pojavljuje u novim verzijama što se pojačalo početkom ovoga mjeseca kada su autori objavili izvorni kod virusa što je, mnogima koji to žele, omogućilo da se okušaju i u toj vrsti programiranja stvarajući svakodnevno nove verzije.
Najnovije verzije crva Bagle pojavile su se sredinom mjeseca sa nazivima Bagle.AF, Bagle.AH, Bagle.AG a razlika u odnosu na starije verzije se očituje u načinu komprimiranja da bi se izbjeglo prepoznavanje od strane AV programa.
Nove verzije virusa također šalju mailove na sve adrese koje virus pokupi sa zaraženog računala iz datoteka slijedećih ekstenzija: WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM, JSP, a za slanje mailova koriste svoju vlastitu SMTP rutinu, zbog čega je nemoguće otkriti sa kojeg je račulala virus stigao do vas.
Većina proizvođača AV programa ovaj virus označava srednje opasnim, a izbjeći ga možete uz oprez prilikom otvaranja mailova sa ZIP datotekama u privitku, kao i redovitom nadogradnjom antivirus programa.
Lovegate
Posljednja varijanta Lovegate crva ostatak je davnih vremena kada je infekcija malicioznim programom za sobom uvijek povlačila reinstalaciju barem dijela aplikacija, pa čak i operativnog sustava. Lovegate-AE i Lovegate-AH ponovo su ovdje.
Prve varijante Lovegate crva detektirane su početkom 2003, nakon čega su mutirale više od tridesetak puta. Posljednje dvije varijante kao i njihovi prethodnici šire se putem elektroničke pošte, prikupljajući sve adrese na inficiranom računalu. Jednom aktiviran, Lovegate pokreće i backdoor komponentu, koja zlonamjernom korisniku omogućuje potpunu kontrolu nad računalom i pristup svim dokumentima i podacima. Inficirano računalo sposobno je i samostalno zaraziti ostala računala na mreži – iskorištavajući godinu dana star sigurnosni propust koji je postao slavan zahvaljujući crvu Blasteru. No najveći problem Lovegate crva jest sposobnost zamjene .exe datoteka vlastitom kopijom, što efikasno onesposobljava brojne aplikacije. Na žalost, u ovakvim situacijama jedino što preostaje jest reinstalacija pogođenih aplikacija, a ukoliko je detektirana i aktivna backdoor komponenta, preporučuje se i reinstalacija cijelog računala.
Lovegate crv zapravo je atavizam iz razdoblja kada su računalima harali virusi čija je namjena najčešće bila inficiranje izvršnih datoteka. Dezinfekcija ovakve datoteke ponekad je bila uspješna, no u većini slučajeva reinstalacija i povratak podataka s backup medija bio je jedini siguran način uklanjanja zaraze.
Kao i kod ostalih, i za ovaj veoma opasni virus vrijedi pravilo prema kojem ne treba otvarati privitke poruka koje izgledaju sumnjivo. Ukoliko nisu sigurni što potencijalno opasan privitak sadržava, preporučuje se njegov pregled antivirusnim programom prije samog pokretanja.
Sasser.B
Jedan od virusa koji mozete "pobrati" nevinim surfanjem po internetu Sasser, širi se koristeći sigurnosni propust u Windowsima (LSASS-a) za kojega je Microsoft izdao "zakrpu" prije nešto više od dva tjedna.
Iako je rečeni sigurnosni propust prisutan u praktički svim Microsoftovim operativnim sustavima, Sasser je sposoban inficirati samo Windowse 2000 i Windowse XP. Korisnici Windows Servera 2003, Windowsa NT 4.0, Windowsa 98 i drugih za sad nisu ugroženi, no imajte na umu da bi se to moglo promijeniti u novim verzijama Sassera.
Sasser saminicijativno pristupa računalu priključenom na Internet i ukoliko računalo nema instaliranu sigurnosnu "zakrpu" koristi sigurnosni propust inficirajući vaše računalo bez vašeg znanja. Nakon inficiranja, on prekida vezu sa Internetom, restartira računalo i to ponavlja pri svakom novom pristupu Internetu. Brzina inficiranja je, po nekim statističkim podacima, dvije minute nakon priključivanja na Internet.
Zaštita je, kao i uvijek, ista – skinite najnovije sigurnosne zakrpe s Windows Updatea i redovito nadograđujte svoj antivirusni program. Ako je vaše računalo već inficirano Sasserom, slijedite upute za uklanjanje na web-stranicama proizvođača antivirusnog programa kojeg koristite.
Za detaljnije informacije o svemu ovome možete pogledati Microsoftove informacije o Sasseru i Microsoftove informacije o sigurnosnom propustu kojega Sasser iskorištava.
MyDoom
Naravno, i legendarni MyDoom je u ovim vrućim ljetnim danima dobio svoju novu inačicu, koju Sophos naziva W32/MyDoom.o, a čije su žrtve jučer nakratko bile i velike tražilice. Google, Altavista i Yahoo slamali su se na trenutke pod teretom upita zaraženih PC-a.
Naime, MyDoom je inače kombinacija crva i trojanca čija je osnovna zadaća da svojim tvorcima pribavi što više mail adresa.
Očito, pisci crva su shvatili kako im zombi računala zaražena njihovim uratkom mogu donijeti više e-mail adresa ako, nakon što ukradu adrese sa zaraženog PC-a, iskoriste njegovu vezu na Internet i bandwidth kako bi upitali za još e-mail adresa velike search engine. Naravno to sve za posljedicu ima enormne količine spam-a koje redovito stižu u naše inbox-ove.
