A Trend Micro a mai napon közepes szintű riasztást adott ki az e-mailen terjedő, memória-rezidens Worm_Wurmark.J féreg kapcsán. A féreg úgy terjed, hogy bemásolja saját magát a Windows rendszer egyik könyvtárába, találomra kiválasztott fájlnevet használva. Érdekessége, hogy szintén egy véletlenszerűen kiválasztott elnevezésű DLL fájlt is elhelyez az operációs rendszer egyik mappájában – ez a fájl egy IESpy nevű kémprogram egy komponense. Ez az első alkalom, hogy egy kereskedelmi spyware programot tartalmazó férget azonosítottak.
A Worm_Wurmark.J képes a leütött karakterek naplózására: elmenti a felhasználó által begépelt karaktereket egy véletlenszerűen elnevezett DLL fájlba. A Wurmark továbbá ZIP kiterjesztéssel olyan fájlokat ment a Windows rendszermappájába, amelyek a kártevőt tartalmazzák. A fertőzött e-mail tárgya különböző lehet, a “details”, “girls” “music” és “readme” szavak gyakran előfordulnak benne. Alapszintű megtévesztési technológiák alkalmazásával a féreg könnyen ráveheti a felhasználót a különböző zip fájlok megnyitására, mint például a “love.zip”, “image.zip” és “screensaver.zip”, a levél üzenet része azonban mindig üres.
Spyware-nek nevezzük azon programokat, amelyek titokban, a felhasználó tudta nélkül gyűjtenek információkat a számítógépen végzett tevékenységekről, majd azokat egy megadott helyre továbbítják. Ezen információk lehetnek személyes adatok, böngészési, vásárlási szokások, jelszavak vagy akár banki, pénzügyi műveletekkel kapcsolatos adatok is. A leggyakrabban különféle billentyűzet-naplózó szoftverekről és “követő-cookiekról” van szó. Mivel ezek a programok akár közvetlenül a begépelt karaktereket és egérkattintásokat is figyelhetik, hiábavalónak bizonyulhat a legbonyolultabb biztonsági infrastruktúra is, ha ilyen egyszerű módon jutnak ki kényes adatok a számítógépről.
A féreg terjedését eddig Franciaországban, Indiában, Szingapúrban és Tajvanon észlelték. “A Wurmark módszere, hogy rosszindulatú támadása során felhasználja a már ismert kémprogramot, az integrált védelmi megoldások szükségességét jelzi – mind az üzleti, mind az egyéni felhasználók számára” – nyilatkozta David Kopp, a TrendLabs európai vezetője. “Ez a különleges féreg egy igazán alapszintű megtévesztési trükköt használ, és még az üzenet része is üres. A felhasználóknak, akik még ezek után is megnyitják a fájlt és ezzel megfertőzik gépeiket, valóban magasabb szintű tudatosságra lenne szükségük az e-mailek megnyitásakor”- tette hozzá Kopp.
Nézd meg a legfrissebb cikkeinket a címlapon!
