SG.hu
Az antivírus-gyártókat heccelik a vírusírók
A legújabb Win32/Sober.X trójai vírus kódja gúnyos megjegyzésekkel illeti az antivírus-gyártókat.
A féreg a washingtoni és kínai biztonságtechnikai konferenciák ideje alatt jelent meg az interneten, amikor a világ vezető biztonságtechnikai szakemberei éppen az előadótermekben ültek. Nem először fordult elő, hogy a vírusok készítői figyelembe vették a vírusvadászok időbeosztását. Egyre gyakrabban próbálják meg kihasználni az antivírus-gyártó cégek szakemberei számára elfoglaltságot jelentő eseményeket. Októberben a Sober.R a dublini Virus Bulletin konferencia alatt bukkant fel, most pedig a Win32/Sober.X készítői indítottak útnak egy nagyobb fertőzéshullámot, miközben a vírusvadászok Washingtonban és Kína több városában képezték magukat.
Andrew Lee, az ESET technológiai igazgatója az eseményekkel kapcsolatban figyelmeztet arra, hogy az úgynevezett nulladik napi fenyegetések ellen – azaz az olyan fertőzésekkel szemben, melyekre még nem létezik ellenszer – csak a heurisztikus technológia jelent védelmet. „A mai kórokozók szerzőit már nem a bizonyítási vágy vezérli, hanem anyagi ösztönzők hajtják. A fertőzések számának emelkedése nehéz helyzetbe hozza a hagyományos reaktív elveken működő biztonságtechnikai termékek gyártóit, akik először gyorsan visszafejtik a kórokozót, majd csak ezt követően adják ki az ellenszert.” – állítja a szakember, aki szerint egyre nagyobb technológiai előnyre tesznek szert a fejlett heurisztikát alkalmazó antivírus megoldások gyártói.
A most megjelent Win32/Sober.X féreg két, Visual Basic nyelven írt végrehajtható fájlból áll. Az egyik ezek közül egy trójai program, ami feltehetően más kórokozók elhelyezésének megkönnyítésére szolgál, a másik pedig fertőzött e-mailek tömeges kiküldését végzi. Ez utóbbi „Your email” „Haben Sie diese EMail verschickt?“ tárggyal rendelkező elektronikus leveleket küld, csatolmányként a trójai program .zip formátumú tömörített változatával.
Amennyiben a felhasználó megnyitja a trójai programot, az a végrehajtás után rögtön törli önmagát és egy hamis hibaüzenetet jelenít meg. Ezalatt a trójai néhány üres fájlt helyez el a rendszerkönyvtárban, ami lehetővé teszi, hogy a kórokozó minden rendszerindításkor lefusson. Végül a trójai e-mail címek után kutatva végigfésüli a felhasználó számítógépét, annak érdekében, hogy későbbi terjedését előkészítse.
A féreg a washingtoni és kínai biztonságtechnikai konferenciák ideje alatt jelent meg az interneten, amikor a világ vezető biztonságtechnikai szakemberei éppen az előadótermekben ültek. Nem először fordult elő, hogy a vírusok készítői figyelembe vették a vírusvadászok időbeosztását. Egyre gyakrabban próbálják meg kihasználni az antivírus-gyártó cégek szakemberei számára elfoglaltságot jelentő eseményeket. Októberben a Sober.R a dublini Virus Bulletin konferencia alatt bukkant fel, most pedig a Win32/Sober.X készítői indítottak útnak egy nagyobb fertőzéshullámot, miközben a vírusvadászok Washingtonban és Kína több városában képezték magukat.
Andrew Lee, az ESET technológiai igazgatója az eseményekkel kapcsolatban figyelmeztet arra, hogy az úgynevezett nulladik napi fenyegetések ellen – azaz az olyan fertőzésekkel szemben, melyekre még nem létezik ellenszer – csak a heurisztikus technológia jelent védelmet. „A mai kórokozók szerzőit már nem a bizonyítási vágy vezérli, hanem anyagi ösztönzők hajtják. A fertőzések számának emelkedése nehéz helyzetbe hozza a hagyományos reaktív elveken működő biztonságtechnikai termékek gyártóit, akik először gyorsan visszafejtik a kórokozót, majd csak ezt követően adják ki az ellenszert.” – állítja a szakember, aki szerint egyre nagyobb technológiai előnyre tesznek szert a fejlett heurisztikát alkalmazó antivírus megoldások gyártói.
A most megjelent Win32/Sober.X féreg két, Visual Basic nyelven írt végrehajtható fájlból áll. Az egyik ezek közül egy trójai program, ami feltehetően más kórokozók elhelyezésének megkönnyítésére szolgál, a másik pedig fertőzött e-mailek tömeges kiküldését végzi. Ez utóbbi „Your email” „Haben Sie diese EMail verschickt?“ tárggyal rendelkező elektronikus leveleket küld, csatolmányként a trójai program .zip formátumú tömörített változatával.
Amennyiben a felhasználó megnyitja a trójai programot, az a végrehajtás után rögtön törli önmagát és egy hamis hibaüzenetet jelenít meg. Ezalatt a trójai néhány üres fájlt helyez el a rendszerkönyvtárban, ami lehetővé teszi, hogy a kórokozó minden rendszerindításkor lefusson. Végül a trójai e-mail címek után kutatva végigfésüli a felhasználó számítógépét, annak érdekében, hogy későbbi terjedését előkészítse.