Árpád
-2 °C
9 °C

Trójait hoz a féregvírus

2005.01.20. 16:01
A most felbukkant Baba-C behatoló programot is magával hurcol a felhasználó rendszerére. Utóbbi révén kívülállók átvehetik az irányítást a fertőzött számítógép felett.
A brit Sophos informatikai biztonsági vállalat olyan levéláradatot indító féregvírus felbukkanására figyelmeztet, amely trójai behatoló programot is magával hurcol a felhasználó rendszerére.

A W32/Baba-C féregvírus email útján terjed, és ehhez nincs szüksége a levelezőprogram elfoglalására, mivel saját SMTP-alkalmazását használja. A fertőzést követően átfutja a felhasználó gépén található Outlook-címlistákat, és a kigyűjtött címekre elküldi magát.

Minden újraindításkor feléled

A féregvírus ezzel egy időben trójai programot helyez el a C:\ főkönyvtárban, a regisztrációs bejegyzéseket pedig úgy módosítja, hogy az újraindítással a kéretlen jövevény is aktiválódjon.

A Baba-C csrss.bin néven ártalmatlan szöveges fájlt másol be a trójai mellé. A backdoor-alkalmazás révén kívülállók átvehetik az irányítást a fertőzött számítógép felett, emlékeztet a pte hírügynökség.

További címeket keres

A féregvírus megkísérli további emailcímek felderítését, ehhez a megfertőzött számítógépen átfut minden fájlt, amelyek a következő kiterjesztések egyikét használják: ASP, CGI, DAT, DBX, DOC, EML, HTM, HTML, MBX, PHP, RTF, TBB, TXT, WAB és INBOX.

A Baba-C féregvírust hordozó emailek mindig ugyanazt a tárgysort használják ("Important! XXX sites found on your computer!" azaz "Fontos, XXX oldalakat találtunk a számítógépén!")

Vírusos az "eltüntető"

A csatolt szöveg pedig a következő: "quick shortcut to evidence cleaner length %d bytes evidence-cleaner-system.com", azaz "gyors link a bizonyítékokat eltüntető %d bites evidence-cleaner-system.com-hoz". A "%d" helyére mindig 10 és 20 közötti szám kerül.

A Sophos szerint az új féregvírus egyelőre csekély körben terjedt el. A biztonsági cég ennek ellenére azt ajánlja, hogy a felhasználók frissítsék a vírusvédő alkalmazásaikat.