A vírus a szakértők új közleménye szerint azért “közepesen veszélyes”, mert előfordulási gyakorisága az utóbbi órákban megnőtt. A W32/Sobig.e@MM vírust június 25-én fedezték fel, de már a korábbi, 4266-os DAT fájlok tartalmazzák a vírus új variánsának proaktív felismeréséhez szükséges információt.
Hasonlóan a Sobig.d variánshoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban, így megkerülve a kiterjesztésekre vonatkozó szabályokat. Ezért a felhasználónak további lépéseket kell tennie a vírus tényleges eltávolításáért. Továbbá egye levelezőkliensek a kiterjesztést „ZI” ként is megjeleníthetik.
A féreg gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:
– Az e-mail szövege: “Please see the attached zip file for details”
– Csatolt állomány: “your_details.zip”, amely a details.pif fájlt tartalmazza.
– Küldő: a vírus saját, tetszőleges feladót megjelölő e-mailt generál, ezért a látszólagos küldő valószínűleg nem a valódi forrás.
A vírus működésbelépésekor feltérképezi a hálózatot, és az alábbi helyekre próbálja meg bemásolni magát:
1. Documents and SettingsAll UsersStart MenuProgramsStartup
2. WindowsAll UsersStart MenuProgramsStartup
3. Installation
Az alábbi fájlokat másolja a %windir% mappába (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:WINNT, C:WINDOWS):
1. “winssk32.exe” (~85kB, a vírus másolata)
2. “msrrf.dat” (konfigurációs fájl)
Létrehozza a következő Registry kulcsot, amely a legközelebbi rendszerindításkor lép életbe:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurren
VersionRun “SSK Service” = %WinDir%winssk32.exe
(ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:WINNT, C:WINDOWS)
A W32/Sobig.e@MM vírust a 4266-es DAT fájl W32/Sobig.c@MM néven kezeli, de a teljes védelemhez ebben az esetben szükséges a 4.2.40+ scan engine és a tömörített állományok vizsgálatának engedélyezése is. A 4273-es DAT fájl W32/Sobig.e@MM néven ismeri fel a vírust bármelyik scan engine-nel.
További információ az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp
Az AVERT Kutató Központról:
A McAfee AVERT (Anti-Virus Emergency Response Team) a világ egyik vezető vírusirtó kutatószervezete, mely 16 országban foglalkoztat kutatókat. Alapvető feladata a számítógéphasználók és a Network Associates ügyfelek támogatása. A legújabb fenyegetések kutatásával elősegíti, hogy a felhasználók nagyobb biztonságban dolgozhassanak. Az AVERT célja nem a félelemkeltés, hanem a tanácsadás és a figyelemfelhívás.
A McAfee Security-ről:
A McAfee Security a Network Associates üzletága, amely a vállalatokat biztonsági rések, vírustámadások és vegyes fenyegetések ellen védi. A McAfee Security átfogó hálózati védelmet kínál vírusirtó, kódolási, desktop tűzfal, behatolás érzékelő, sérülékenység elemző és menedzselt biztonsági technológiák segítségével.
További információ a McAfee Security termékekről: http://www.mcafeesecurity.com.
A Network Associates termékei régóta ismertek és használatosak Magyarországon. 2000 óta a Network Associates képviseleti irodát tart fenn hazánkban.
Megjegyzés: a Network Associates, a Sniffer, a McAfee a Magic Solutions és az AVERT a Network Associates, Inc. és/vagy vállalatai bejegyzett védjegyei az Egyesült Államokban és/vagy más országokban. Az összes többi bejegyzett vagy be nem jegyzett védjegy ebben a közleményben a megfelelő birtokosok kizárólagos tulajdona.
—
PR ügynökség:
Szezám Kommunikációs Kft.
Ügyvezető: dr. Szekfű András
Tel: 438-0650
Fax: 315-1983
szezam@szezam.hu
www.szezam.hu
Nézd meg a legfrissebb cikkeinket a címlapon!
