Rónai György

Új féreg terjed e-mailben

Biztonsági szakértők szerint egy új vírus tombol az interneten, amely a "Netsky D" névre hallgat, és e-mailben terjed. A csatolmány megnyitásával lelassítja a számítógépet, és szinte megbénítja az e-mailforgalmat.

A férget különösen nehéz azonosítani, ugyanis a postafiókba érkezéskor rengeteg féle tárgy közül variál, például "re:details" vagy "re:here is the document". Természetesen a magyar felhasználóknak egy picit könnyebb dolguk van, mivel feltűnőbb, ha angol nyelvű e-mail érkezik.

"Egy csatolt PIF (Program Information File) fájlként érkezik, és már jelenleg is széles körben elterjedt" - mondta el Graham Cluley a Sophos szóvivpője. Szerinte az új féreg nem lesz akkora csapás, mint a meglehetősen széles körben elterjedt MyDoom féreg, mely az SCO és a Microsoft weboldalait vette célba. Viszont közlése szerint a teljes veszélyességére később derül majd fény. "Úgy gondoljuk, hogy a felhasználók nem igazán ismerik fel a PIF fájlok veszélyességét, mert nem hallottak róla, hogy ártalmas programkódot is tartalmazhat. Természetesen a legjobb amit tehetnek, hogy megnyitás nélkül törlik" - tette hozzá Cluley.

A Sophos antivírus, és antispam programokat író cég szerint a mostani elődje, a Netsky-B egyébként a harmadik legártalmasabb vírus besorolását kapta februárban, követve a MyDoom-A, és a Sober-C variánsokat. A memória-rezidens féreg saját SMTP-magot használ az e-mail üzeneteken keresztül történő terjedéshez.

Az üzenet jellemzői:

Tárgy: (a következők bármelyike)
Re: Approved; Re: Details; Re: Document;Re: Excel file; Re: Hello; Re: Here; Re: Here is the document; Re: Hi; Re: My details; Re: Re: Document; Re: Re: Message; Re: Re: Re: Your document; Re: Re: Thanks!; Re: Thanks!; Re: Word file; Re: Your archive; Re: Your bill; Re: Your details; Re: Your document; Re: Your letter; Re: Your music; Re: Your picture; Re: Your product; Re: Your software; Re: Your text; Re: Your website.

Üzenet szövege: (a következők bármelyike)
Your file is attached., Please read the attached file., Please have a look at the attached file., See the attached file for details., Here is the file., Your document is attached.
Csatolt fájl (a következők bármelyike): all_document.pif; application.pif; document.pif; document_4351.pif; document_excel.pif; document_full.pif; document_word.pif; message_details.pif; message_part2.pif; mp3music.pif; my_details.pif; your_archive.pif; your_bill.pif; your_details.pif; your_document.pif; your_file.pif; your_letter.pif; your_picture.pif; your_product.pif; your_text.pif; your_website.pif; yours.pif.

A féreg WINLOGON.EXE fájlnéven elhelyezi saját másolatát a Windows mappában, majd hozzálát az e-mail címek összegyűjtéséhez a C-től a Z-meghajtóig (kivéve a CD-ROM meghajtót). (Nem árt tudni: a Windows NT, 2000 és XP rendszereken a Windows System mappában mindig szerepel a rendszer működéséhez szükséges WINLOGON.EXE alkalmazás.)

A féreg csatlakozik egy helyi vagy több külső DNS szerverhez, amelyeket SMTP-szerverként használ olyan levélforgalmazók kereséséhez, amely a yahoo.com domainen belül található. Ez a rosszindulatú kód egy Petite tömörítésű futtatható fájlban érkezik, és a magas szintű Microsoft Visual C++ programozási nyelven íródott. Windows 95, 98, ME, NT, 2000 és XP operációs rendszereken fut.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Yfel #16
    Engem nem erdekel az atlagfelhasznalo. Annyira meg ertek hozza, hogy se SPAM, se Virus ne erje el a gepemet. Mindenki mas le van szarva(no offense :o) )

    Y
  • AtisH #14
    Igen -ahogy irtad- minden hulye (bocs) el is tudja inditani... Lehet, hogy en is hulye lennek, mert nem tudnam csak ugy hipp-hopp leirtani, viszont el sem inditottam.:-)
  • RelakS #13
    Egyszer beszivatott engem is egy vírus, bár akkor még nem volt divatban az ímélvírus. Volt valami veszélyes cuccos, ahhoz irtó. Én láma (1 másfél éve foglalkoztam pécével, örültem, hogy tudtam használni, rádásul akkor otthon még nem volt) elindítottam a stuffot, és nem esett le, hogy hirtelen mi az a sok vigyori fejecske a képernyőn (azt azért megállapítottam, hogy vírus ;) )

    A mai ímélvírusok közül néhányat azért megnyitottam, de abban a melléklet vagy az volt, hogy a NAV talált valami szemetet, és törölte, vagy a mailbox.hu-n volt
  • Bith #12
    Hehe, én pont ma (tegnap) szedtem le egy ilyet, egy cégnél. Szerencsére könnyű volt kitalálni mi a bajuk, mert a telefonba belehallatszott, amint a speakeren "dalolászott" a netsky. Állítólag, 26-án reggel 6-tól 9-ig csinálta, de ez tegnap reggel is csinálta, azaz 2-án. Amúgy 9 körül értem ki, és akkor már valóban nem "zenélt" :D.
  • Cat #11
    igen, minden hülye le tudja szedni, ha egyáltalán észreveszi, és ha rövid ideig is van fenn, azalatt többezer másik helyre küldi tovább magát, és néhány százalékuk meg fogja nyitni...
  • gz8 #8
    Mert az még nem jelent teljes védelmet a felhasználói tudatlanság/hülyeség ellen (megfelelőt kérjük aláhúzni). Az átlagjúzer még a vírusirtót is a körzeti orvossal íratná fel...
  • AtisH #6
    Ezzel csak az a gond, hogy te úgy gondolod, mindenki aki netezik már gyakorlott informatikus is. Én megpróbáltam kicsit elmagyarázni totál laikusnak a vírusokról meg a férgekről alapinfót, de látszott rajtuk, hogy k***ára nem értik ezt az egészet. Volt már olyan, aki annyira meglepődött, hogy azt mondta nem internetezik többet.:-/
  • Kandurex #2
    Én kaptam tegnap ilyesmit..4db-ot....tárgyra vetett pillantás után már szép ívben vágódott a SHIFT+DEL-el az örök enyészetbe..:)
  • [HUN]PAStheLoD #1
    fantasztikus ... esetleg a a csatolmányokat nem kell megnyitni ha nem tudjuk kitől és mi jött