Bocseszvírus

A vírusírtó szakértő Sophos vírus toplistáján jelenleg az első helyen van a W32/Apology-B nevű vírus. A cégnél októberben jelentett fertőzések egyharmadáért az emailben terjedő vírus a felelős. A McAfee ALERT szolgálata augusztus utolsó napjaiban a vírus veszélyességét alacsonyról közepesre módosította. Jó lesz vigyázni.

Az Windows Outlook levelezőprogramon keresztül fertőző W32/Apology-b, W32/MTX@MM, I-Worm.MTX, vagy W32/MTX néven ismert vírus első áldozatát a krónika szerint augusztus 23-án jelentették a McAfee-nál.

Az Apology-b csatolt nevei README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_$100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif

A Németországból származó vírus mérete 18483 bájt. Besorolása: vírus, internet féreg alosztály, hátsó ajtó kialakító email vírus.

Mindent figyel

Az Apology újítása az 'I Love You' vírushoz képest, hogy hátsó ajtót épít az operációs rendszerbe, figyeli a levelezést, és a webes adatforgalmat. Az is újítás, hogy a szerelemvírussal ellentétben nem okozott világméretű pánikot.

Az Apology egy 'pe' vagyis portable executable fájl, amely fertőzéskor három fájlt telepít. Az IE_Pack.exe a wsock32.dll rendszerfájlt módosítja. A módosított fájl figyeli a hálózati adatforgalmat: egyrészt megkísérli magát a helyi hálózaton telepíteni, másrészt figyeli a kimenő leveleket. A vírussal érkező másik fájlt - amely maga a vírus - a kimenő levelekhez csatolja, a szokásos gyanútól bűzlő fájlnevekkel (ld. Keretes anyagunk).

A módosított winsock32.dll emellett figyeli a webes adatforgalmat, és megakadályozza olyan oldalak letöltését, amelyek a vírusirtókat fejlesztő vállalatokra utaló betűsorokat tartalmaznak (pl.: avp, f-se, soph, afee, ndmi, tbav). Hasonló módon megakadályozza, hogy a felhasználó a fertőzött gépről vírusirtók nevét tartalmazó domainre küldjön levelet.

A vírussal érkező harmadik fájl az MTX_.exe alakítja ki a hátsó ajtót az operációs rendszeren. A program a háttérben futva további programkomponenseket tölt le, illetve kétpercenként adatokat küld az internetre az 1132-es TCP porton.

Az idei Compfairen vásárdíjat nyert magyar Virware vírusvédelmi szoftvercsalád fejlesztői november 13-ra igérik a vírus eltávolítására alkalmas verzió elkészítését.