Panda Software: a Sulfnbk.exe "víruskacsa" újabb hulláma

forrás: Prim Online forrás: Prim Online, 2001. november 16. 18:15
Az elmúlt napokban a Panda Software műszaki szolgálatánál különböző országokból rendkívül sokan kértek felvilágosítást az állítólagos Sulfnbk.exe vírusra figyelmeztető megtévesztő üzenettel kapcsolatban. Az elektronikus levél a felhasználókat – a rendszer normális működéséhez egyébként szükséges – Sulfnbk.exe állomány törlésére szólítja fel.
Idén májusban ugyanez a hamis vírusriasztást tartalmazó megtévesztő üzenet a cég által valaha is regisztrált legnagyobb mennyiségű telefonhívást váltotta ki. A megtévesztő üzenet elektronikus levélben érkezik, a levél tárgymezejében az "URGENT, NEW VIRUS" (sürgős, új vírus megjelenése) szöveggel, míg a levél maga a következő szöveget tartalmazza (a levél szövegében kisebb helyesírási és stilisztikai hibák vannak, ami arra enged következtetni, hogy a szerző vagy nem angol anyanyelvű, vagy pedig nem igazán iskolázott személy – A ford.):

"There is a virus in the wild that installs itself on computers through an executable file called "sulfnbk.exe". I have been told that it will run on the next 1st of June DELETING ALL THE INFORMATION ON YOUR HARD DISK!! In order to remove this virus, eliminate the executable file "sulfnbk.exe", that can be found using the Windows "Find" feature. Click "Start"...then "Find"… then "Files or folders"...Type "sulf" in the "Named" field …and when the file is found delete it. BE CAREFUL WHEN YOU SELECT THE FILE! DOUBLE CLICKING IT WOULD RUN IT! IF YOU HAVE ANY DOUBTS, PRINT THIS E-MAIL AND CALL YOUR I.T. CONSULTANTS FOR THEM TO CARRY OUT THE OPERATION"

A sulfnbk.exe valójában a Windows rendszer része, a rendeltetése az ún. hosszú fájlnevek helyreállítása; így ezt az állományt nem szabad törölni. A levél szövegét teljes mértékben figyelmen kívül kell hagyni.

Ez azonban nem jelenti azt, hogy a megtévesztő üzenetek nem jelentenek komoly veszélyt, hiszen egy rosszindulatú számítógép-felhasználó kihasználhatja a lehetőséget egy vírus gépünkre juttatására. Ha tehát melléklettel ellátott ilyen levelet kapunk, azt meg kell vizsgáltatni a legújabb víruskereső programmal, pontosan úgy, ahogy minden más ismeretlen állománnyal tennénk, amely a gépünkre jutott.

Miről ismerhető fel a megtévesztő üzenet?

A megtévesztő üzenet – kacsa – általában három részből áll:

Egy bevezető részből, amelynek célja az olvasó figyelmének megragadása; ez például a következő szöveg lehet: "Subject: URGENT" (Tárgy: Sürgős), "Subject: Virus Alert" (Tárgy: Vírusveszély), "READ THIS MESSAGE IMMEDIATELY" (Feltétlenül elolvasandó) stb.

Az állítólagos fenyegető veszély részletes leírásából, például "If you receive an email titled 'It Takes Guts to Say 'Jesus'', DO NOT OPEN IT. It will erase everything on your hard drive" (Ha olyan levelet kapsz, amelynek a címe "Bátorság kell Jézus nevének kimondásához", ne olvasd el! Mindent letöröl a merevlemezedről!).

Egy felhívásból a levél továbbküldésére, például a következő szöveggel: "PLEASE DISTRIBUTE THIS WARNING TO AS MANY PEOPLE AS POSSIBLE..." (Kérlek, küldd tovább ezt a figyelmeztetést mindenkinek, akinek csak tudod!).

Az olvasó félrevezetése és a figyelmeztetés hitelességének fokozása céljából a megtévesztő üzenet gyakran tartalmaz még egyéb elemeket is:

– jól ismert cégek vagy szervezetek (pl. a Microsoft, a CNN, az Intel, az IBM stb.) nevét a levél fejrészében;

– szakkifejezéseket, például "It will infect your Boot Sector Memory and lay low in there while infecting any EXE and INI files" (megfertőzi a boot-szektor memóriáját (sic!), és ott mélyen beágyazza magát, miközben megfertőzi az EXE és az INI állományokat).

Ha ilyen megtévesztő üzenetet kapunk, a legcélszerűbb megoldás értesíteni a feladót arról, hogy az üzenet megtévesztés, ilyen módon próbálva megszakítani a levelek láncolatát. Soha nem küldünk tovább egy ilyen levelet a címlistánkon szereplő kapcsolatainknak, mert ezzel hozzájárulunk a hamis üzenet terjedéséhez. Ha nem vagyunk biztosak benne, hogy a vírusveszélyről szóló figyelmeztetés valós vagy kacsa, legjobb felkeresni a Panda Software weboldalát (http://www.pandasoftware.com), ahol mindig megtalálható a legfrissebb információ az éppen csak felbukkant vírusokról.