A múlt héten analizált újabb MyDoom variáns, a MyDoom-O hálózati féreg, sokak szerint az utóbbi idők legkomolyabb féregveszélyét jelenti. Mások szerint a Sober terjedése még ennél is rémisztőbb képet fest. Körülnéztünk kicsit a vírusok háza tájékán, és néhány védekezési alternatívát is ajánlunk.
Nem volt veszélytelen, mint ahogy egyik MyDoom sem az - de a legekkel érdemes óvatosan bánni. Meg kell jegyezni, hogy e mellett még egy P2P alkalmazásokon is terjedő MyDoom variáns a W32/MyDoom-AS, illetve még két - szintén a gépeken lévő kereső alkalmazásokat e-mail címgyűjtésre kihasználó - minor variáns is előkerült, a W32/MyDoom-BC és a W32/MyDoom-BD (neveik az észlelő cégek által alkalmazott nomenklatúra szerint változhatnak).
W32/Sober-K
Ma egy új meglepetést észlelt több cég is, a W32/Sober-K nevű hálózati férget, mely levelek mellékletében terjedve fertőzi meg a Windows rendszert, futtató gépeket, mely során a fertőzött gépen összegyűjti az e-mail címeket, melyekre angol vagy német nyelvű levél mellékleteként elküldi másolatait, saját SMTP motort használva, bejegyzéseket tesz a registrybe, illetve olyan állományokat is telepít a gépre, melyek nem fertőznek. (Lehet, hogy esetleg ez az utóbbi idők legkomolyabb féregveszélye?)
A férget Visual Basic programnyelven írták, UPX tömörítésű PE .exe állomány, mely 52 kilobyte hosszú, tömörítetlen formában 179 kilobyte.
A W32/Sober-K a futása kezdetekor megnyit a fertőzött gépen egy "write" ablakot, valamint ezzel párhuzamosan a %WinDir%\msagent\win32\ mappába három állomány néven másolja be saját magát: csrss.exe, smss.exe és winlogon.exe. Állandó rendszerrel együtt történő futása érdekében - a registry következő kulcsait változtatja meg az alábbiak szerint:
Ha a kulcsokat törlik, a féreg néhány másodpercen belül újraírja azokat. E mellett a féreg az rendszer elsődleges telepítő mappájába, a Windows System mappába elhelyez három üres állományt, melyek funkciója az, hogy hatástalanítsák a féreg korábbi verzióit, ha azok fellelhetők a rendszeren. Ezek az állományok a következők: runnowso.ber, nonrunso.ber, és stopruns.zhz. Szintén a %WinSys% mappába helyez a féreg néhány adat állományt, ezek: datamx1.dat, datamx2.dat, datamx3.dat, goto1.dat, goto2.dat, goto3.dat, zippedso1.ber, zippedso2.ber valamint zippedso3.ber.
A "datamx" és a "goto" fájlok tartalmazzák azokat az e-mail címeket, melyeket a féreg a fertőzött rendszer adott állományaiból összegyűjtött, míg a másik három állomány a féreg .zip tömörítésű másolata - melyeket a levelek mellékleteként küld tovább, a Windows mappában pedig létrehoz egy "read me" állományt.
A W32/Sober-K féreg angol és német nyelvű levelek csatolt állományaként küldi el magát azokra a címekre, melyeket a fertőzött gép bizonyos állományaiból gyűjtött össze. Ezeket az összegyűjtött címeket tartalmazzák a már említett. dat állományok, a: datamx1.dat, datamx2.dat, datamx3.dat, goto1.dat, goto2.dat, goto3.dat. A rendszerrel és antivírussal kapcsolatos e-mail címekre viszont nem küld levelet - mely német, illetve angol nyelvű lehet, valamint .de, .ch, .at és .gmx végződésű domaineket használ fel küldőként..
A féreg nem használ ki semmilyen rendszerhibát, a futása automatikus - ha a felhasználó elindítja. Ellenben nem fertőz meg olyan rendszereket, melyek merevlemezein az "xcvfpokd.tqa" nevű állományt találja.
Védekezés, megelőzés
Védekezni ellenne a megfelelő javítófoltok és frissítsék telepítésével lehet. Ugyanígy frissíteni kellene a vírusvédelmet a levelezőszerver-rendszergazdáknak is, akár Linux alapú levelezőn is, mert ezek nélkül az egész Internet társadalmat veszélyeztetve akadálytalanul átjuthatnak a Windows rendszerekre veszélyes károkozók. Így e rendszergazdák felelőssége is hatalmas. Minimális elvárás lenne a szervereken is legalább egy nyílt forráskódú, ingyenes víruskereső alkalmazása, mint például a ClamAV.
Egy "Windows szakértő" tanácsa szerint sosem admin-felhasználóként használjuk a gépet, frissítsük mindig az elérhető legújabb csomagokkal, használjunk valamilyan hatékony víruskeresőt valamint ezek mellett anti-spyware alkalmazást.
E-mailben érkezett csatolt állomány csak akkor nyissunk meg, ha megbízható forrásból származhat, de ezt is csak a merevlemezre mentés után.
WindowsXP használata esetén a belső tűzfalát sohase kapcsolja ki (akkor sem, ha a szolgáltató ügyfélszolgálata ezt tanácsolja), vagy ha kikapcsoljuk, mindenképpen használjunk helyett valamilyen más tűzfalprogramot, például ZoneAlarm, Outpost vagy Kerio.
Ha az InternetExplorer (vagy más böngésző) feldob valamilyen figyelmeztetést, azt nem véletlen teszi, ajánlott végigolvasni.
Ne bízzunk meg egy szoftverben csak azért, mert nem Microsoft. (A Mozilla Firefox sem védi meg mindig a férgektől, így a TheBat!-tel is beszedhetjük azt a levelet, amiben vírus van.)
Sajnos nagyon sok az olyan
felhasználó, akit ezek a tájékoztatások nem érdeklik avagy csak félinformácíót gyűjt be.Ekkor bekövetkezik a baj, és mint a dominó tovább adja másoknak is.
Ha végre egyesek is vennék a fáradságot és tájékozódnának, talán
kevésbé volnának hatékonyak a kártevők a gépeken!
Hardver
A múlt héten analizált újabb MyDoom variáns, a MyDoom-O hálózati féreg, sokak szerint az utóbbi idők legkomolyabb féregveszélyét jelenti. Mások szerint a Sober terjedése még ennél is rémisztőbb képet fest. Körülnéztünk kicsit a vírusok háza tájékán, és néhány védekezési alternatívát is ajánlunk.
A W32/Sober-K a futása kezdetekor megnyit a fertőzött gépen egy "write" ablakot, valamint ezzel párhuzamosan a %WinDir%\msagent\win32\ mappába három állomány néven másolja be saját magát: csrss.exe, smss.exe és winlogon.exe. Állandó rendszerrel együtt történő futása érdekében - a registry következő kulcsait változtatja meg az alábbiak szerint:
tonca - 2006. január 19. 06:30 - 
