SG.hu

Magasabb AVERT veszélyességi kategóriában a Sobig.e@MM féregvariáns

Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Sobig.e@MM féregvírust, a W32/Sobig.c@MM egy újabb változatát. A vírus a szakértők új közleménye szerint azért "közepesen veszélyes", mert előfordulási gyakorisága az utóbbi órákban megnőtt. A W32/Sobig.e@MM vírust június 25-én fedezték fel, de már a korábbi, 4266-os DAT fájlok tartalmazzák a vírus új variánsának proaktív felismeréséhez szükséges információt.

Hasonlóan a Sobig.d variánshoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban, így megkerülve a kiterjesztésekre vonatkozó szabályokat. Ezért a felhasználónak további lépéseket kell tennie a vírus tényleges eltávolításáért. Továbbá egyes levelezőkliensek a kiterjesztést "ZI" ként is megjeleníthetik.

A féreg gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:

  • Az e-mail szövege: "Please see the attached zip file for details"
  • Csatolt állomány: "your_details.zip", amely a details.pif fájlt tartalmazza.
  • Küldő: a vírus saját, tetszőleges feladót megjelölő e-mailt generál, ezért a látszólagos küldő valószínűleg nem a valódi forrás.

    A vírus működésbelépésekor feltérképezi a hálózatot, és az alábbi helyekre próbálja meg bemásolni magát:

    1. \Documents and Settings\All Users\Start Menu\Programs\Startup\
    2. \Windows\All Users\Start Menu\Programs\Startup\
    3. Installation

    Az alábbi fájlokat másolja a %windir% mappába (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS):

    1. "winssk32.exe" (~85kB, a vírus másolata)
    2. "msrrf.dat" (konfigurációs fájl)

    Létrehozza a következő Registry kulcsot, amely a legközelebbi rendszerindításkor lép életbe:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SSK Service" = %WinDir%\winssk32.exe

    (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS)

    A W32/Sobig.e@MM vírust a 4266-es DAT fájl W32/Sobig.c@MM néven kezeli, de a teljes védelemhez ebben az esetben szükséges a 4.2.40+ scan engine és a tömörített állományok vizsgálatának engedélyezése is. A 4273-es DAT fájl W32/Sobig.e@MM néven ismeri fel a vírust bármelyik scan engine-nel.
  • Hozzászólások

    A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
    Bejelentkezéshez klikk ide
    (Regisztráció a fórum nyitóoldalán)
    Nem érkezett még hozzászólás. Legyél Te az első!