Divi jauni «Mytob» tārpa varianti ļauj attālināti vadīt inficētos datorus
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
«Mytob» tārpu radītājs vai radītāji turpina savus centienus izplatīt internetā pēc iespējas vairāk šo ļauno kodu. Atklājot jaunos CU un CX variantus, tārpa saimē tagad jau ir 103 varianti.
«Mytob» tārpu bīstamība slēpjas apstāklī, ka tiem piemīt aizkulišu īpašības, kas ļauj attālināti vadīt inficētos datorus. Luiss Korons, «PandaLabs» direktors, uzskata: «Šo tārpu radītāju patiesais nodoms ir izveidot inficēto datoru tīklu, kas saskaņoti izpilda pavēles. Tas, piemēram, ļaus instalēt vienu un to pašu spiegu programmu simtos datoru vienlaikus. Ikviena no šādām darbībām varētu radīt lielus finanšu ienākumus ļauno kodu radītājiem.»
«Mytob» jaunie varianti ir līdzīgi saviem priekštečiem: tie izplatās caur e-pastu ziņojumos, kas simulē paziņojumus par problēmu attiecībā uz pastkastēm vai sūtītajiem ziņojumiem. E-ziņojumiem, kuros tiek nosūtīti šie tārpi, ir šādas tēmas: «Your email account access is restricted» vai «Your Email Account is Suspended For Security Reasons». Ziņojuma teksts var būt šāds: «To unblock your email account acces, please see the attachment» vai «We have suspended some of your email services, to resolve the problem you should read the attached document».
Visbeidzot — ziņojuma pielikumā, kas īstenībā satur šo tārpu, varētu būt šādi vārdi: «email-info», «email-text» vai «email-doc».
Ja lietotājs atver e-ziņojumiem pievienoto datni, tārps izveido datni ar nosaukumu «internet.exe» un sāks meklēt e-pasta adreses, uz kurām sevi nosūtīt datnēs ar dažādiem paplašinājumiem. Papildus tas aptur procesus, kas pieder noteiktiem drošības lietojumiem, kā arī maina HOSTS datni. Tas neļaus lietotājiem pieslēgties noteiktām tīkla adresēm, galvenokārt kas attiecas uz IT drošību.
Visbeidzot — tas pieslēdzas noteiktam IRC serverim, kur gaida uzbrucēja pavēles un tiek veikti arī vairāki ieraksti «Windows» reģistrā, lai nodrošinātu savu palaišanu ikreiz, kad tiek startēta sistēma.
«Vīrusu viļņu, kā «Mytob», «Bropia» vai «Kelvir» parādīšanās pamatā ir finanšu ieņēmumi, kādus gūst šo ļauno kodu radītāji,» paskaidroja Korons.
Lai novērstu inficēšanos ar kādu no «Mytob» saimes variantiem vai ar jebkuru citu ļauno kodu, «Panda Software» iesaka visiem lietotājiem jaunināt savu antivīrusa programmatūru. «Panda Software» klientiem jau ir pieejami attiecīgie jauninājumi, kas atklāj un iznīcina šos jaunos ļaunos kodus.