Nándor
9 °C
20 °C

Néha úgy érzed, mintha két valóság létezne?

Több infó

Támogasd a független újságírást, támogasd az Indexet!

Nincs másik olyan, nagy elérésű online közéleti médiatermék, mint az Index, amely független, kiegyensúlyozott hírszolgáltatásra és a valóság minél sokoldalúbb bemutatására törekszik. Ha azt szeretnéd, hogy még sokáig veled legyünk, akkor támogass minket!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?

Terjed a Winevar féregvírus

2002.11.27. 16:34
Új féregvírus terjed az interneten. Egyik neve I-Worm.Winevar, de van neki több is: HLLM.Seoul, W32.HLLW.Winevar, Korvar, Braid.C, Winevar. Ha vírusirtóval találkozik, mindent letöröl a gépről.
Az új vírus e-mail üzenetek mellékletében terjed. Jelenlétét először Koreában észlelték. A féreg maga egy kb. 91 Kb hosszúságú PE EXE fájl, melyet Visual C++ nyelven írtak. A vírusos üzenet érdekes angolsággal íródott, formátuma a következő:

A vírusos levél

Tárgy:
Re: AVAR(Association of Anti-Virus Asia Reseachers)

Levélszöveg:
AVAR(Association of Anti-Virus Asia Reseachers) - Report. Invariably, Anti-Virus Program is very foolish.

Csatolt állomány:
MUSIC_1.HTM
MUSIC_2.CEO

A féreg a lefuttatásához az IFRAME Exploit biztonsági rést próbálja meg kihasználni. Telepíti magát a rendszerbe, majd társaihoz hasonlóan lefuttatja a terjesztőrutinját. Véletlenszerű neveken bemásolja magát a Windows System alkönyvtárba. Ezenfelül létrehoz egy Funlove.4099 vírusvariánst is, amelyet WINxxxx.PIF néven néven bemásol, szintén a Windows System alkönyvtárba. A Funlove eredeti szövege helyett a következőt tartalmazza: ~AAVAR 2002 in Seoul~

Míg az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven keletkezik. Ezek után megjelenít egy versszerű üzenetet:

Make a fool of oneself
What a foolish thing you have done!

Hogyan terjed?

A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelező mappa állományokban kutat címek után, és ezekre küldi tovább magát. A címek közül azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal kezdődnek. A féreg tartalmaz egy hálózati terjedési rutint is, de egyelőre úgy tűnik, ezt a rutint nem fejezte be a vírus írója.

Hogyan büntet?

A féreg a számítógépen az antivírus, tűzfal és debugger programok folyamatait megpróbálja megkeresni és leállítani, valamint a hozzájuk tartozó állományokat letörölni. Néhány esetben (vagy talán minden alkalommal?), ha antivírus programot talál, a féreg minden állományt töröl az összes meghajtóról. Azt pontosan nem tudni, hogy szándékosan teszi, vagy ez "csak" egy programhiba a víruskódban.

Még egy aljasságot próbál meg elkövetni, végtelen ciklusban hívogatja a http://www.symantec.com oldalt, úgy tűnik, DDoS támadást próbál intézni a szerver ellen.

A jelentősebb antivírus rendszerek, köztük az F-Secure és Kaspersky Anti-Virus programok a 2002. november 25-i adatállományokkal már képesek detektálni.

Forrás: 2F 2000 Kft Anti-Virus Technical Support