SG.hu

Tombol a Sobig.f@MM féregvariáns; különösen az otthoni felhasználók vannak veszélyben

Másodszor emelte meg a veszélyességi besorolást 24 órán belül az AVERT, a Network Associates vírusszakértői csoportja a W32/Sobig.f@MM féregvírus esetében. A vírus az éjjel kiadott új közlemény szerint az egyre fokozódó gyakorisága miatt "nagyon veszélyes" az otthoni felhasználók számára. A W32/Sobig.f@MM vírust augusztus 19-én fedezték fel, de már a korábbi, 4287-es DAT fájlok tartalmazzák a vírus új variánsának proaktív felismeréséhez szükséges információt.

Hasonlóan az eddigi W32/Sobig variánsokhoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban, (egyes levelezőkliensek a kiterjesztést „ZI” ként is megjeleníthetik). A féreg gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:

  • Az e-mail szövege: “Please see the attached zip file for details”
  • Csatolt állomány lehet: your_document.pif, document_all.pif, thank_you.pif , your_details.pif, details.pif, document_9446.pif, application.pif, wicked_scr.scr, movie0045.pif
  • Küldő: a vírus saját, tetszőleges feladót megjelölő e-mailt generál, ezért a látszólagos küldő valószínűleg nem a valódi forrás.
  • A tárgysor lehet: Re: Thank you!, Re: Details, Re: Re: My details, Re: Approved, Re: Your application, Re: Wicked screensaver, Re: That movie
  • Mivel a vírus véletlenszerű méretű adattörmeléket is tartalmaz, a mérete változó!

    A vírus az alábbi helyre másolja be magát: C:\WINNT\WINPPR32.EXE

    Ezen kívül a C:\WINNT\WINSTT32.DAT konfigurációs fájlt is elhelyezi a Windows alapértelmezett mappájában, és létrehozza a következő Registry kulcsokat, amelyek a legközelebbi rendszerindításkor lépnek életbe:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run"TrayX"=C:\WINNT\WINPPR32.EXE/sinc HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

    (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS)

    A féreg megkísérel továbbá kapcsolatba lépni távoli NTP szerverekkel, amelyek IP címeit a vírus tartalmazza, és NTP csomagokat küld a 123-as portra. A korábbi variánsokhoz hasonlóan a W32/Sobig.f vírus is időkorlátos, 2003 szeptember 10-e után a vírus felfüggeszti tevékenységét.
  • Hozzászólások

    A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
    Bejelentkezéshez klikk ide
    (Regisztráció a fórum nyitóoldalán)
    Nem érkezett még hozzászólás. Legyél Te az első!