Ha ezt kapod, köpj egyet a földre és töröld!
  • rushman
    #2
    A vírushiradó közzétett hírlevele:


    Téma: I-worm.Swen: szépen kidolgozott féreg terjed
    [Riasztási fokozata: 1-es (közepes).]

    -------------------------------------------------------------------

    A Dumaru féregváltozatok terjedéséről szóló szeptember elején megjelent
    cikkünkben felhívtuk ügyfeleink figyelmét a káros kódot hordozó levelek
    felismerésének lehetőségére. Sajnos az ott szereplő három jótanács,
    javaslat közül már talán csak egy vagy kettő állja meg a helyét, mivel:

    Megjelent és szabadon terjed egy "szépen kidolgozott" féreg, amely
    I-worm.Swen nevet kapott az antivírus cégektől. A kód elemzése alapján a
    vírusvédelmi kutatók úgy vélik, szerzője ugyanaz a hacker lehet, aki a
    Gibe vírust is útjára indította. A két kártevő közti időben biztosan
    szépírástant tanult, ugyanis a grafikát, formázást és web-hivatkozásokat
    is tartalmazó, HTML formátumú elektronikus levélben érkező féreg körítése
    meglepően emlékeztet a Microsoft weblapok szín- és formavilágára.

    A levél kódja olyan exploit-ot tartalmaz, amelynek segítségével a férget
    tartalmazó, 106kB-os fájlmelléklet automatikusan lefuthat a sebezhető
    rendszereken. A Swen még IRC-n és a Kazaa fájlcserélő hálózaton keresztül
    is képes terjedni.

    A Swen férget tartalmazó levél szövege a következő:
    Feladó: változó
    (MS Technical Assistance, Microsoft Internet Security Section, MS
    Services)

    Tárgy: gyakran vagy minden esetben hiányzik

    Melléklet: Q591362.exe (változó is lehet)

    Levéltörzs: Microsoft Partner

    this is the latest version of security update, the "September 2003,
    Cumulative Patch" update which eliminates all known security
    vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook
    Express as well as three newly discovered vulnerabilities. Install now to
    continue keeping your computer secure. This update includes the
    functionality of all previously released patches.

    System requirements Windows 95/98/Me/2000/NT/XP

    This update applies to MS Internet Explorer, version 4.01 and later
    MS Outlook, version 8.00 and later
    MS Outlook Express, version 4.01 and later
    Recommendation: Customers should install the patch at the earliest
    opportunity.
    How to install: Run attached file. Choose Yes on displayed dialog box.
    How to use: You don't need to do anything after installing this item.

    Microsoft Product Support Services and Knowledge Base articles can
    be found on the Microsoft Technical Support web site. For security-related
    information about Microsoft products, please visit the Microsoft Security
    Advisor web site, or Contact Us.

    Thank you for using Microsoft products.

    Please do not reply to this message. It was sent from an unmonitored
    e-mail address and we are unable to respond to any replies.
    -----------------------------------------------
    The names of the actual companies and products mentioned herein are
    the trademarks of their respective owners.

    Contact Us | Legal | TRUSTe
    (c) 2003 Microsoft Corporation. All rights reserved.
    Terms of Use | Privacy Statement | Accessibility"


    A számítógépet használóknak azt tanácsoljuk, hogy ne dőljenek be az
    egyébként igényes kivitelezű levélnek; tartsák szem előtt, hogy a
    Windows-hoz készített valódi javítások, többek között a sokféle nyelvi
    változat létezése miatt is, kizárólag a gyártó saját webhelyéről
    kiválasztva érhetők el. Ha tehát levélben ajánlanak ilyesmit, gyanakodni
    kell!

    Ha a Swen féreg lefut, elsőként a Windows mappájába másolja magát
    MLMHP.EXE-hez hasonló, véletlenszerűen változó néven és létrehozza a fájl
    automatikus futtatásához szükséges registry értéket:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "" = ".exe /autorun"

    Ezután a féreg egy párbeszédablakot jelenít meg, amelyben a "biztonsági
    javítás" telepítésének engedélyezését kéri. Persze a Swen a felhasználó
    igen vagy nem válaszától függetlenül; akár rejtve, akár nyíltan, de
    feltepül a fertőzött gépre.

    Ezek után létrehoz egy batch fájlt, amely a fertőzött gép nevét viseli és
    tartalma: @ECHO OFF IF NOT "%1"=="" féregfájlnév.exe %1

    A féreg ezután a SWEN1.DAT fájlba kicsomagolja a saját kódjában tárolt,
    SMTP levelezőszerverek nevét tartalmazó listát.

    A féreg a Windows Registry segítségével magához rendeli bizonyos
    fájltípusok végrehajtását (BAT, SCR, EXE, REG és PIF):
    [HKCU\exefile\shell\open\command]
    [HKCU\regfile\shell\open\command]
    [HKCU\scrfile\shell\open\command]
    [HKCU\piffile\shell\open\command]
    [HKCU\batfile\shell\open\command]

    Ha ilyen fájlokat próbálnak futtatni egy fertőzött gépen, a féreg veszi át
    a vezérlést.

    A Swen saját védelme érdekében letiltja a registry módosítására alkalmas
    felhasználói programok futását, stílszerűen egy registry kulcs
    beállításával:
    [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools" = dword:00000001

    Ezért "registry-buheráló" futtatásakor csak egy hibaüzenet jelenik meg:
    "Memory access violation in module Kernel32 8962:43568691"

    Egy további registry-ágban, a
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer] alatt a féreg
    információkat tárol az SMTP kiszolgálókra, a felhasználó e-mail címére, a
    mIRC liens mappájának helyére, a fertőzött exe és zip fájlok nevére, stb.
    vonatkozóan.

    A továbbterjedés előkészítéseként a Swen féreg beállíja az esetleg a gépen
    található Kazaa kliens megosztás szolgáltatását és több példányban a
    Kazaa-n keresztül felajánlott anyagok közé másolja magát. Az .exe vagy
    .zip kiterjesztésű fájlneveket az alábbi készletekből véletlenszerűen
    választva generálja:

    Kazaa Lite, KaZaA media desktop, KaZaA, WinRar, WinZip, Winamp,
    Mirc, Download Accelerator, GetRight FTP, Windows Media Player, key
    generator, hack, hacked, warez, upload, installer Bugbear, Yaha, Gibe,
    Sircam, Sobig, Klez, remover, removal tool, cleaner, fixtool AOL hacker,
    Yahoo hacker, Hotmail hacker, 10.000 Serials, Jenna Jameson, HardPorn,
    Sex, XboX Emulator, Emulator PS2, XP update, XXX Video, Sick Joke, XXX
    pictures, My naked sister, Hallucinogenic Screensaver, Cooking with
    Cannabis, Magic Mushrooms Growing, Virus Generator

    A mIRC kliensben a Swen féreg a SCRIPT.INI állományt cseréli ki egy olyan
    parancsra, amely féregpéldányokat küld minden olyan csevegőcsatornába,
    amelyhez a fertőzött gép felhasználója csatlakozik.

    Megjegyzés: A Microsoft által az Internet Explorer webböngészőhöz
    kiadott legújabb valódi javítás az MS03-032-es számot viseli és a
    letöltendő fájlok a nyelv kiválasztása után innen érhető el:

    http://www.microsoft.com/windows/ie/downloads/critical/822925/download.asp
    A javítás technikai részleteiről -magyar nyelven- innen tájékozódhatnak:

    http://support.microsoft.com/default.aspx?scid=kb;hu;822925

    Ezen javítás telepítését minden Internet-használónak ajánljuk, hiszen a
    hibák befoltozásával védelmet nyújthat az olyan OutLook Express és
    Internet Explorer programokat érintő sebezhetőségék ellen, amelyeket a
    vírusírók gyakran felhasználnak a káros kód automatikus lefuttatására.

    Vírushiradó hírlevélre itt lehet feliratkozni: Vírushiradó