Gyöngyi
5 °C
14 °C

Néha úgy érzed, mintha két valóság létezne?

Több infó

Támogasd a független újságírást, támogasd az Indexet!

Nincs másik olyan, nagy elérésű online közéleti médiatermék, mint az Index, amely független, kiegyensúlyozott hírszolgáltatásra és a valóság minél sokoldalúbb bemutatására törekszik. Ha azt szeretnéd, hogy még sokáig veled legyünk, akkor támogass minket!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?

Féreg bújik meg a hamis hírlevélben

2003.09.19. 10:45
Egy szépen kidolgozott féreg terjed az interneten, amely a Microsoft weboldalainak szín- és formavilágát utánozza. Vírusvédelmi szakértők szerint a Swen névre keresztelt féreg szerzője ugyanaz a hacker, aki a Gibe férget készítette.
A vírusirtó cégek által I-worm.Swen és W32/Swen@MM néven ismert féreg e-mailben, fájlcserélő rendszereken és IRC-n képes terjedni. A 106 kilobájtos fájlmelléklet a sebezhető rendszereken automatikusan lefuthat.

Valódinak tűnhet

A levél feladója (MS Technical Assistance, Microsoft Internet Security Section, MS Services) azt sugallja, hogy a Microsoft munkatársai küldték az üzenetet, ugyanakkor a tárgy általában hiányzik. A levéltörzs a Microsoft rendszerek biztonsági hiányosságára hívja föl a címzett figyelmét, és azt állítja, hogy a mellékelt futtatható programfájl egy hibajavítást tartalmaz.

A Vírus Riadó munkatársai azt tanácsolják a felhasználóknak, hogy ne dőljenek be az igényes kivitelezésű levélnek. Emellett arra hívták fel a figyelmet, hogy a valódi javítások kizárólag a gyártó saját webhelyéről kiválasztva érhetők el.

Alapos önvédelem

A lefuttatott Swen féreg elsőként a Windows mappájába másolja magát, az MLMHP.EXE-hez hasonló, véletlenszerűen változó néven és gondoskodik a fájl automatikus futtatásáról. Ezután a féreg egy párbeszédablakot jelenít meg, amelyben a "biztonsági javítás" telepítésének engedélyezését kéri. Persze a Swen a felhasználó válaszától függetlenül feltelepül a fertőzött gépre.

A féreg Windows regisztrációs adatbázisának segítségével magához rendeli bizonyos fájltípusok (BAT, SCR, EXE, REG és PIF) végrehajtását, így azok futtatásakor a féreg veszi át a vezérlést. A Swen saját védelme érdekében letiltja a regisztrációs adatbázis módosítására alkalmas felhasználói programok futását, stílszerűen egy regisztrációs kulcs beállításával.

Egy másik regisztrációs ágban a féreg információkat tárol az SMTP kiszolgálókra, a felhasználó e-mail címére, a mIRC kliens mappájának helyére és a fertőzött exe és zip fájlok nevére vonatkozóan.

Féregcserélő hálózatok

A továbbterjedés előkészítéseként a Swen féreg beállítja az esetleg a gépen található Kazaa kliensmegosztási szolgáltatását és több példányban a felajánlott anyagok közé másolja magát. A mIRC kliensben a Swen féreg a SCRIPT.INI állományt cseréli ki egy olyan parancsra, amely féregpéldányokat küld minden olyan csevegőcsatornába, amelyhez a fertőzött gép felhasználója csatlakozik.

A Microsoft által az Internet Explorer böngészőhöz kiadott legújabb javítás az MS03-032-es számot viseli.