Árpád
-2 °C
9 °C

Bocseszvírus

2000.11.08. 10:41
Terjed az 'I Love You' vírus újabb, okosabb verziója. Az augusztus végén feltűnt Apology-B fertőz, továbbküldi magát, és hátsó ajtót épít az operációs rendszerbe.
A vírusírtó szakértő Sophos vírus toplistáján jelenleg az első helyen van a W32/Apology-B nevű vírus. A cégnél októberben jelentett fertőzések egyharmadáért az emailben terjedő vírus a felelős. A McAfee ALERT szolgálata augusztus utolsó napjaiban a vírus veszélyességét alacsonyról közepesre módosította. Jó lesz vigyázni.

Az Windows Outlook levelezőprogramon keresztül fertőző W32/Apology-b, W32/MTX@MM, I-Worm.MTX, vagy W32/MTX néven ismert vírus első áldozatát a krónika szerint augusztus 23-án jelentették a McAfee-nál.

Az Apology-b csatolt nevei
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
A Németországból származó vírus mérete 18483 bájt. Besorolása: vírus, internet féreg alosztály, hátsó ajtó kialakító email vírus.

Mindent figyel

Az Apology újítása az 'I Love You' vírushoz képest, hogy hátsó ajtót épít az operációs rendszerbe, figyeli a levelezést, és a webes adatforgalmat. Az is újítás, hogy a szerelemvírussal ellentétben nem okozott világméretű pánikot.

Az Apology egy 'pe' vagyis portable executable fájl, amely fertőzéskor három fájlt telepít. Az IE_Pack.exe a wsock32.dll rendszerfájlt módosítja. A módosított fájl figyeli a hálózati adatforgalmat: egyrészt megkísérli magát a helyi hálózaton telepíteni, másrészt figyeli a kimenő leveleket. A vírussal érkező másik fájlt - amely maga a vírus - a kimenő levelekhez csatolja, a szokásos gyanútól bűzlő fájlnevekkel (ld. Keretes anyagunk).

A módosított winsock32.dll emellett figyeli a webes adatforgalmat, és megakadályozza olyan oldalak letöltését, amelyek a vírusirtókat fejlesztő vállalatokra utaló betűsorokat tartalmaznak (pl.: avp, f-se, soph, afee, ndmi, tbav). Hasonló módon megakadályozza, hogy a felhasználó a fertőzött gépről vírusirtók nevét tartalmazó domainre küldjön levelet.

A vírussal érkező harmadik fájl az MTX_.exe alakítja ki a hátsó ajtót az operációs rendszeren. A program a háttérben futva további programkomponenseket tölt le, illetve kétpercenként adatokat küld az internetre az 1132-es TCP porton.

Az idei Compfairen vásárdíjat nyert magyar Virware vírusvédelmi szoftvercsalád fejlesztői november 13-ra igérik a vírus eltávolítására alkalmas verzió elkészítését.

Felfedeznéd Portugáliát?

Itt a remek alkalom, hogy megismerd. Beszámolók, fotók - böngéssz!

Oszd meg élményeidet!

Oszd meg nyári élményeidet más utazókkal is, tölts fel beszámolót, fotókat!