Gyurkity Péter

Terjedőben a Mydoom féreg új változata

Az annak idején jelentős károkat okozó Mydoom féregvírus nemrégiben felfedezett mutáns verziója, a Plexus-A, elődjénél szerteágazóbb módon képes a világhálón való terjedésre.

Az új féreg három különböző módon terjed az interneten: elektronikus levelek csatolt állományaiban, a népszerű fájlcserélgető hálózatokon, valamint - a Sasser és Blaster vírushoz hasonlóan - a Windows operációs rendszerek sebezhető pontjait kihasználva. A Linux és Mac rendszerek - mint ahogy az már megszokott - ezúttal sem forognak veszélyben, a vírus ugyanis kizárólag windowsos gépeken terjed.

Az orosz Kaspersky Labs által elvégzett elemzés szerint a féreg eddig ismeretlen alkotói a Mydoom kódjára alapozták munkájukat. David Emm, a Kaspersky szakembere szerint a Plexus - köszönhetően annak, hogy számos különböző módon képes terjedni - több rendszert képes megfertőzni elődeinél. A Nimda féreg megjelenése óta egyetlen vírus sem rendelkezett ilyen szerteágazó képességgel. A Kaspersky közepes veszélyességi fokozattal látta el a Plexust, amelynek elsődleges célja egy hátsó kapu elhelyezése a megtámadott rendszerben. Jóllehet a vírust létrehozó személyek célja egyelőre ismeretlen, a megfertőzött számítógépek nagy valószínűséggel további támadások kiindulópontjaiként szolgálnának.

A Plexus összesen öt különböző e-mail változatot használ a címzettek megtévesztésére. Mindegyik változat eltérő fejléccel, szöveggel és nevükben különböző csatolt állományokkal rendelkezik, az egyetlen hasonlóság a csatolt fájl mérete, amely FSG tömörítés esetén 16 208 byte, tömörítetlenül pedig 57 856.
Futtatásakor a féregvírus a Windows registrybe másolja magát "upu.exe" néven, és már a rendszer elindításakor automatikusan elindul. A megfertőzött gépeket további e-mail címek után kutatja át, majd elektronikus üzenetek küldésével megpróbál újabb rendszereket megfertőzni. Ezzel egyidőben az 1250-es port megnyitásával lehetővé teszi különböző állományok távoli eljárással történő le- illetve feltöltését, továbbá megakadályozza a Kaspersky vírusirtó program adatbázisának frissítését.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Tetsuo #7
    Ez olyan nagy szám?
    Ki az a barom aki rákattint 1 ismeretlen csatolt fájlra?
    /Talán a húgom? :)
  • EarthQuake #2
    végre ;P