Mária
-6 °C
-2 °C

Hazug levéllel támad a MyDoom

2004.11.09. 10:58
Az F-Secure blogja szerint hétfő éjszaka két új MyDoom variáns jelent meg, amelyek nagyban különböznek elődjeiktől, ugyanis nem tartalmaznak fertőző csatolt fájlokat. Ehelyett a szövegtörzsben elhelyezett furfangos linkkel próbálják rávenni az internetezőket arra, hogy meglátogassanak egy fertőző weboldalt. A Service Pack 2 kivédi támadást.
A MyDoom férgek általában emailben terjednek, de a hétfőn megjelent két új verzió eltér a korábbiaktól, ugyanis hazug szövegükkel próbálják megtéveszteni az internetezőket. A férgek által küldött levelek egyik változata például azt állítja, hogy a PayPal online fizetési rendszer sikeresen leemelt a számlánkról százhetvenöt dollárt, és a tranzakció részleteit a levél végén található linkre klikkolva ismerhetjük meg.

A link valójában egy fertőzött gépre mutat, amelynek 1639-es portjára a féreg egy aprócska webszervert telepített. Hasonló technikát alkalmaz a Blaster féreg is, amely a megfertőzött gépeken létrehozott webes tárhelyről támadja meg az internetezőket, így nehezítve meg a vírusirtók helyzetét.

Véd az SP2

A fertőző zombi gépek támadása nehezen kivédhető, ráadásul az informatikai biztonsággal foglalkozó cégek már többször bebizonyították, hogy a központi szerveren tárolt kártékony programok terjedése pillanatok alatt megakadályozható, ami némiképp megmagyarázza az új MyDoomok férgek szerzőinek a lépését.

A MyDoom.AG és MyDoom.AH néven futó új férgek az Internet Explorer teljesen új IFRAME biztonsági hibáját használják ki, amelyet a Secunia biztonsági cég a szélsőségesen kritikus kategóriába sorolt be. Az F-Secure szerint a Windows 2000 és a Windows XP Service Pack 1 számára még nem készült hibajavítás, de az XP Service Pack 2 már védelmet nyújt.

Az F-Secure szakértőiben az is felmerült, hogy a két új féreg talán nem is a MyDoom leszármazottja, mivel már csak negyvenkilenc százalékban hasonlítanak őseikre.