| W32/Korgo-F |
Sigurnosne tvrtke su objavila izmjenu sigurnosnog upozorenja u vezi crva Korgo.F koji napada Windows operativne sustave. Tvrtka Symantec je objasnila da izmjena dolazi nakon najnovijih izviješća o naglom povećanju prijava inficiranih sustava navedenim crvom u razdoblju 2-3. lipnja 2004. Navedena tvrtka je nivo opasnosti od W32.Korgo.F crva promijenila sa 2 na 3 (od mogućih 5). Tvrtka F-Secure je u posebnom izviješću upozorila na širenje više inačica crva Korgo. Sve inačice iskorištavaju isti, LSASS propust u Windows operativnim sustavima. Symantec poziva korisnike da instaliraju LSASS Windows zakrpu i obnove antivirusne definicije. Ujedno se savjetuje konfiguriranje vatrozida na način da se blokiraju ulazi 113 i 3067.
CARNet CERT
|
| W32/Bobax-A |
Sigurnosna tvrtka Sophos je upozorila na novog crva, nazvanog Bobax, koji iskorištava isti propust u Microsoft-ovim operativnim sustavima kao i crv Sasser. Bobax nakon inficiranja sustava računalo pretvara u zombija koji se potom može koristiti za slanje spam i drugih poruka, te pri DoS (denial of service) napadima. Sophos poziva korisnike Microsoft-ovih operativnih sustava da instaliraju zakrpu za MS operativne sustave ukoliko to do sada nisu učinili. Sophos je izdao obnovljene virusne identifikacijske datoteke i poziva korisnike da obnove svoje antivirusne programe.
CARNet CERT
|
| W32/Kibuv-B |
Sigurnosna tvrtka Symantec je detektirala, koristeći svoju "DeepSight Threat" mrežu, vrlo visok nivo neobičnog prometa na TCP ulazu 5000 koja je indikator pojave novog crva. Osumnjičeni je crv Kibuv.b, koji je pogodio internet ovog vikenda, i koji iskorištava propust u "Universal Plug and Play" (UPnP) servisu unutar Windows 98, ME i XP sustavima. "Kibuv.b iskorištava odavno poznati propust koji je otkriven i za kojeg je izdana zakrpa 2001. godine. Za sada ne smatramo ovaj napad kritičnom prijetnjom" izjavio je Alfred Huger, potpredsjednik Symantec-a zadužen za detekciju novih virusa. Zakrpa za navedeni problem su dostupne na Microsoft-ovoj internet stranici ili preko "Windows Update" sustava.
CARNet CERT
|
| W32/Sasser-A |
"U petak navečer (30. travnja 2004. godine) se počeo širit crv Sasser. Čini se da se crv širi manjom brzinom od prijašnjih crva MSBlast-a i Code Red-a", izjavio je Alfred Huger, jedan od direktora sigurnosne tvrtke Symantec. Tvrtke Symantec, Network Associates i Internet Storm Center su označile Sasser "umjereno opasnim" crvom. Dolazak crva nije iznenadio mrežnu sigurnosnu zajednicu jer su stručnjaci već naveliko predviđali da će se ubrzo pojaviti crv koji će iskorištavati nedavno otkrivenu ranjivost u komponenti Windows operativnog sustava znanoj kao LSASS (Local Security Authority Subsystem Service). Za širenje Sasser crva nije potrebna intervencija korisnika. Crv skenira sustave koji imaju navedeni propust, stvara udaljenu vezu sa sustavom, instalira FTP ( file transfer protocol) protokol i potom sam sebe usnimi na sustav. Kada inficira računalo crv otvara ulaz 5554 za dolazak novih datoteka na zaraženi sustav. Stephen Toulouse, voditelj odjela sigurnosti u Microsoft-u naglašava da "njihovi stručnjaci još analiziraju Sasser crva", ali i da "su korisnici koji su instalirali zakrpu sigurni od napada". Microsoft je objasnio kako ručno ukloniti Sasser crva sa zaraženog računala.
CARNet CERT
|
| W32/Netsky-X |
28. travnja 2004. godine crv Netsky.x je započeo DDoS (distributed denial of service) napad na tri edukativna mrežna mjesta (web sites): nibis.de, medinfo.ufl.edu i educa.ch. Napad je doveo do rušenja dvaju od tri napadnuta mjesta. Napad je programiran tako da traje tri dana, do 30. travnja. Po podacima tvrtke AlertSite, koja se bavi nadzorom mrežnog prometa, švicarska internet stranica educa.ch dobro odolijeva napadima. Crvi Netsky.y i Netsky.z su također programirani za napad na navedene stranice što može značiti produljenje napada do 5. svibnja.
CARNet CERT
|
| W32/Bagle-C, D, E, F, G |
Antivirusne tvrtke su izvijestile o pojavi pet novih inačica Bagle crva, poimenice C, D, E, F i G inačica. Prve tri su vrlo slične originalnom Bagle crvu dok se F i G razlikuju po tome što su kreirane kako bi zaobišle filtere elektronske pošte i virusne pretraživače (skenere). F i G inačice crva dolaze enkriptirane u pridodanoj ZIP datoteci s priloženom zaporkom pomoću koje se pokreće enkriptirana datoteka. Na taj način su izbjegnute kontrole datoteke od strane filtera i skenera jer većina filtera ne blokira datoteke s ekstenzijom .zip, a virusni skeneri ne mogu otvoriti enkriptiranu datoteku. David Emm, voditelj marketinga antivirusne tvrtke McAfee Avert, je izjavio da još nije bilo crva s toliko inačica u tako kratkom vremenu. Mikko Hypponen iz antivirusne tvrtke F-Secure naglašava da hakeri izdavanjem novih, malo izmijenjenih inačica istog crva drže korak ispred antivirusnih tvrtki koje moraju svako malo izdavati dodatke za detekciju i uklanjanje novih inačica istog crva.
CARNet CERT
|
| W32/NetSky-C |
Antivirusne tvrtke su izvjestile o širenju nove varijante crva NetSky pod nazivom NetSky.C ili Moodown.C. Analiza koju je provela tvrtka F-Secure Corp. je pokazala da se nova inačica crva NetSky ponaša drugačije nego prethodne inačice. NetSky.C je komprimiran pomoću drugog programa te pretražuje puno više datoteka u potrazi za elektronskim adresama. Crv dolazi kao ZIP datoteka dodana elekronskoj poruci. Unutar datoteke se nalaze dvije izvršne datoteke s ekstenzijama .RTF i .SCR. Antivirusna tvrka Central Command vjeruje da NetSky.C ima potencijala da postane ozbiljna sigurnosna prijetnja.
CARNet CERT
|
| W32/MyDoom-A |
Primijeceno je intenzivno sirenje novog Internet mreznog crva pod nazivom MyDoom, odnosno Novarg. Crv se siri porukama elektronicke poste sa laziranim From poljem, a adrese korisnika dobivaju se pregledavanjem tvrdog diska zarazenog racunala. Poruke zarazene MyDoom crvom mogu se prepoznati prema privitku sa zip ili exe datotekama karakteristicnog naziva (body, dana, doc, document, file, message, readme, test). Takodjer postoji sumnja da crv u sebi sadrzi i proxy posluzitelj, koji omogucuje prosljedjivanje spam poruka posredstvom zarazenog racunala. Buduci da se radi o tzv. mass mailing crvu, najveca opasnost prijeti nedovoljno zasticenim mail posluziteljima zbog povecanog mreznog prometa koji se javlja kao posljedica sirenja crva.
CARNet CERT
|
| W32/Bagle-A |
Sophos je upozorio na novog crva koji se širi preko elektronske pošte nazvanog W32/BAGLE@MM ili Bagle (neke sigurnosne tvrtke su ga nazvale i Beagle). Crv omogućuje napadaču preuzimanje zaraženih računalnih sustava. Jednom kada crv inficira sustav, on sustavno pregledava sve e-mail adrese u .wab, .txt, .htm, i .html datotekama i potom šalje sam sebe na pronađene elektronske adrese. Crv lažno prikazuje "From:" polje unutar e-mail poruka koje šalje. Također, crv otvara TCP (transfer control protocol) izlaz 6777, dopuštajući napadaču da instalira i pokrene bilo kakav programski kod na zaraženom računalu. Bagle obaviještava napadača o računalima koje je uspio zaraziti tako da pristupa raznim internet stranicama i pokreće skriptu. Bagle ima ugrađeno vremensko ograničenje trajanja (28. siječanj 2004.) što ujedno znači da nas čekaju nove, poboljšane varijante istog crva. Sophos i Computer Associates su primili 80% više poziva za pomoć otkad je Bagle u opticaju.
CARNet CERT
|
| W32/Dumaru |
Antivirusne tvrtke upozoravaju korisnike na vrlo opasnu, novu inačicu Dumaru crva koji je pogodio internetsku zajednicu ovoga vikenda. Nova varijanta, nazvana Dumaru.Y ili Dumaru.J (naziv varira u ovisnosti o antivirusnoj kompaniji) dolazi u obliku zip datoteke koja je dodana elektronskoj poruci. Crv napada Windows Server 2003, Windows 2000, NT, XP, 98, 95 i ME sustave. Jednom pokrenut, crv traži e-mail adrese na napadnutom računalu, šalje sam sebe potencijalnim žrtvama i otvara dvoja stražnja vrata (backdoors) preko kojih omogućuje napadaču preuzimanje kontrole nad sustavom. Posebno se upozorava da novi Dumaru ima ugrađenu mogućnost krađe zaporki preko očitanja upisa znakova s tastature računala. MessageLabs je već u rano jutro 26. siječnja 2004. detektirao 14,000 kopija novog crva. Korisnicima se preporuča hitno instaliranje dodataka antivirusnim programima kako bi zaštitili svoj računalni sustav od nove pošasti.
CARNet CERT
|
AVG Anti-Virus Free Edition
Avira AntiVir Personal - Free Antivirus
avast! Home Edition
