Az új, adatbázisokban kutakodó féreg semlegesítése

A Peerbot.B nevű féreg több, rosszindulatú folyamatot indít be azokon a számítógépeken, amiket megfertőz. Ez az újfajta féreg e-mailek és P2P programok útján terjed, és képes mindvégig rejtőzve maradni, miközben több olyan folyamatot futtat le a gépeken, amelyek azok rendszereinek biztonsági szintjét csökkentik. Képes információkat szerezni az SQL szerverről és a MySQL adatbázisokból, ezzel tulajdonosát megbízható adatokkal látja el, amiket aztán akár törvénybe ütköző módon is felhasználhatnak. Képes továbbá távoli asztal kapcsolatot létesíteni a megfertőzött számítógépen annak érdekében, hogy például „spameket” küldjön.

Más, e-mailekben terjedő férgekhez hasonlóan a Peerbot.B is úgy terjed, hogy a P2P programok megosztott mappáiban sok olyan fájlt hoz létre, melyek hasonlítanak közismert alkalmazások, vagy játékprogramok crackjeinek nevére. Mikor más felhasználók keresést hajtottak végre a P2P programban, a legelőször megfertőzött felhasználó fájljai is szerepeltek a találatok között.

Amint a féreg a számítógépre telepedik, olyan alkalmazások hosszú sorát állítja le, melyek antivírus programokkal állnak kapcsolatban, valamint olyanokat is, amelyek rendszerkezelő eszközöket felügyelnek. Ezután úgy változtatja a Windows beállításait, hogy megakadályozza a biztonsági weboldalak elérését. Ezek közül a lépések közül mindegyik arra irányul, hogy a fertőzött számítógép biztonsági szintjét csökkentse, és ezáltal sebezhetővé tegye azokat a rosszindulatú kódokkal, valamint az azokat felderítő programokkal szemben, továbbá megakadályozza magának a féregnek az eltávolítását is.

A Peerbot.B olyan, álcázott hozzáférési pontot hoz létre a felhasználó számítógépén, ami lehetővé teszi, hogy az „bot”-tá alakuljon át, és így a támadó által távolról vezérelhetővé váljon. Ezenkívül a féreg felkutatja a számítógépen található SQL Server és MySQL adatbázisokat is, és az azok által tartalmazott adatokat, valamint a számítógép IP címét e-mailben elküldi a féreg tulajdonosának.

Luis Corrons, a PandaLabs igazgatója szerint, „a Peerbot.B-hez hasonló férgeket, melyek kikapcsolják a rendszer biztonsági mechanizmusait, nehéz felkutatni és semlegesíteni, mert azok megpróbálnak a lehető legtovább láthatatlanok maradni azért, hogy végezni tudják a szabályozó és adatlopó feladatukat. Az ilyen, és ehhez hasonló veszélyforrások a klasszikus vírusirtó megoldások proaktív technológiákkal való kiegészítését igénylik, melyek képesek felderíteni és semlegesíteni ezen veszélyeket.”

TruPrevent Technológia észlelte és blokkolta a Peerbot.B tevékenységeit, ennek következtében nincs szükség mintát venni a fertőzött számítógépből a féreg azonosításához. E technológia felhasználói már akkor védettek voltak ez ellen az új típusú fenyegetés ellen, amikor az felbukkant.