Barbara, Borbála
-6 °C
3 °C

Terjed a Winevar féregvírus

2002.11.27. 16:34
Új féregvírus terjed az interneten. Egyik neve I-Worm.Winevar, de van neki több is: HLLM.Seoul, W32.HLLW.Winevar, Korvar, Braid.C, Winevar. Ha vírusirtóval találkozik, mindent letöröl a gépről.
Az új vírus e-mail üzenetek mellékletében terjed. Jelenlétét először Koreában észlelték. A féreg maga egy kb. 91 Kb hosszúságú PE EXE fájl, melyet Visual C++ nyelven írtak. A vírusos üzenet érdekes angolsággal íródott, formátuma a következő:

A vírusos levél

Tárgy:
Re: AVAR(Association of Anti-Virus Asia Reseachers)

Levélszöveg:
AVAR(Association of Anti-Virus Asia Reseachers) - Report. Invariably, Anti-Virus Program is very foolish.

Csatolt állomány:
MUSIC_1.HTM
MUSIC_2.CEO

A féreg a lefuttatásához az IFRAME Exploit biztonsági rést próbálja meg kihasználni. Telepíti magát a rendszerbe, majd társaihoz hasonlóan lefuttatja a terjesztőrutinját. Véletlenszerű neveken bemásolja magát a Windows System alkönyvtárba. Ezenfelül létrehoz egy Funlove.4099 vírusvariánst is, amelyet WINxxxx.PIF néven néven bemásol, szintén a Windows System alkönyvtárba. A Funlove eredeti szövege helyett a következőt tartalmazza: ~AAVAR 2002 in Seoul~

Míg az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven keletkezik. Ezek után megjelenít egy versszerű üzenetet:

Make a fool of oneself
What a foolish thing you have done!

Hogyan terjed?

A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelező mappa állományokban kutat címek után, és ezekre küldi tovább magát. A címek közül azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal kezdődnek. A féreg tartalmaz egy hálózati terjedési rutint is, de egyelőre úgy tűnik, ezt a rutint nem fejezte be a vírus írója.

Hogyan büntet?

A féreg a számítógépen az antivírus, tűzfal és debugger programok folyamatait megpróbálja megkeresni és leállítani, valamint a hozzájuk tartozó állományokat letörölni. Néhány esetben (vagy talán minden alkalommal?), ha antivírus programot talál, a féreg minden állományt töröl az összes meghajtóról. Azt pontosan nem tudni, hogy szándékosan teszi, vagy ez "csak" egy programhiba a víruskódban.

Még egy aljasságot próbál meg elkövetni, végtelen ciklusban hívogatja a http://www.symantec.com oldalt, úgy tűnik, DDoS támadást próbál intézni a szerver ellen.

A jelentősebb antivírus rendszerek, köztük az F-Secure és Kaspersky Anti-Virus programok a 2002. november 25-i adatállományokkal már képesek detektálni.

Forrás: 2F 2000 Kft Anti-Virus Technical Support

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Utazás aggodalom nélkül?

Utazása előtt sose feledkezzen el utasbiztosításáról!