További Biztonság cikkek
Úgy tűnik, hogy a pár napja terjedő Sobig.C vírus megirigyelte a Palyh közelmúltbéli sikerét: nagyon hasonló módszerekkel dolgozik, például a bill@microsoft.com emailcímet is megadhatja feladóként (a Palyh a support@microsoft.com címet használta). A Sobig féreg harmadik változatát szombaton fedezték fel, és másnap már számos országból jelentettek fertőzéseket. Jelenleg Nagy-Britannia a legfertőzöttebb terület, de az Index munkatársainak tapasztalatai alapján már itthon is felbukkant egy-egy példány.
A rendszer megfertőződésekor a Sobig.C elmenti egy példányát a Windows könyvtárba msvcb32.exe néven, és egy registrybe írt bejegyzéssel gondoskodik a kártevő lefuttatásáról minden rendszerindításkor, írta a Vírushíradó. Ezután a féreg megkezdi terjedését, melynek elsődleges útja a fertőzött elektronikus levelek küldése.
Filterrel kiszűrhető
 |
|
A levelek szövege mindig "Please see the attached file", ezért emailfilterrel könnyen kiszűrhetők. A levelek tárgyát és a melléklet nevét rövid listákból választja ki véletlenszerűen a vírus, a lehetséges változatok itt jobbra, keretben olvashatók. A melléklet mindig .pif vagy .scr kiterjesztést szimulál.
A Sobig.C átnézi a gépet, emailcímek után kutatva a .wab, .dbx, .htm vagy .html, .eml és .txt kiterjesztésű fájlokban. Terjedése során ezeket a címeket használja fel a a feladó meghamisítására, de a BBC szerint feladóként szerepelhet a bill@microsoft.com cím is. Amennyiben a vírus által automatikusan küldött levél nem ér célba, a hibajelzés és benne a visszapattanó fertőzött üzenet ahhoz a személyhez érkezik meg, akinek a címét a vírus a feladó meghamisításához felhasználta.
Hétvégén leáll
A MessageLabs május 31-én fedezte fel a vírust Amerikában. A Symantec másnap 2-esről 3-as kategóriájúvá sorolta át a vírust, a cég veszélyességi skáláján a két-három hete elterjedt Palyh-t és a tavalyi Klez féreg is ezt a fokozatot érdemelte ki.
2003. június 8-tól kezdődően a Sobig.C féreg Windows helyi hálózaton keresztül is próbál majd terjedni, de egy programozási hiba folytán ez a rész nem fog lefutni. A Symantec tájékoztatása szerint ezen a napon a féreg deaktiválódik.
A terjedés harmadik útja, az internetről történő vírusmodul-letöltés is megszűnt már, mivel a Sobig.C frissítésére szolgáló szervereket időközben leállították.
Kövesse az Indexet Facebookon is!
Követem!
