Prim Hírek

1. Gépünk felhasználói jogosultságait megfelelő körültekintéssel alakítsuk ki!

2. Jelszavainkat őrizzük megbízható, nehezen hozzáférhető helyen!

3. Bizalmas adatokat tároló számítógép használatát ne engedjük meg bárkinek!

4. Csak jogtiszta programokat telepítsünk!

5. Kizárólag megbízható forrásból fogadjunk el állományokat!

6. Folyamatosan figyelő vírusellenőrző programot használjunk!

7. A vírusellenőrző tudásbázisát a lehető leggyakrabban, napi, esetleg heti rendszerességgel frissítsük!

8. Csak akkor kapcsolódjunk bármilyen hálózathoz, ha használjuk azt, és ne engedélyezzük az automatikus csatlakozást!

9. Tűzfallal védjük gépünket a külső behatolásoktól!

10. Folyamatosan figyelt levelezőrendszert alkalmazzunk, amelyben kizárólag megbízható forrásból érkező csatolt állományok lehetnek, és minden tartalom víruskeresővel ellenőrzött.

**

Új típusú féregvírus bukkant fel, a Worm.Win32.Randon, amely az IRC-n és a helyi hálózat megosztott erőforrásain keresztül terjed. A Kaspersky Labs vírusirtó cég adatai szerint eddig Hollandiából és Oroszországból jelentettek fertőzéseket.

A féreg elindítása után a Windows rendszerkönyvtárának zxz és/vagy zx könyvtáraiba másolja magát, majd elhelyezi a saját kódjának elindításához és az mIRC kliensprogram bootoláskori futtatásához szükséges kulcsokat a registryben:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\updateWins.

A féreg mint futó programfolyamat észrevétlen marad a felhasználó számára, mert meghívja a HideWindows rutint, így jelenléte csak folyamatkezelő alkalmazások segítségével észlelhető.

Ezek után a féreg egy IRC-szerverhez kapcsolódik, és végrehajtja a kapott utasításokat, amelyek között elosztott szolgáltatásmegtagadás típusú (DDoS) támadás és IRC-csatornák elárasztása is szerepelhet.

A Randon féreg a hálózaton keresztül nyitott 445-ös portot keres. Ezen a helyen egy új, először a Windows 2000 és XP által támogatott SMB over TCP/IP protokollt fogadó socket található. Segítségével a Randon éppúgy képes gépről gépre terjedni, mintha a közismert 137-138-139 portokat alkalmazná a féreg átmásolásához.

A Randon az eddigi információk szerint nem tartalmaz a fertőzött gépet károsító, pusztító rutint, azonban a DoS-támadásokkal egy harmadik félnek okozott kár jelentős lehet, illetve a hálózati forgalmat is akadályozza.

*

A brit rendőrség a vizsgálat lezárultáig óvadék ellenében szabadlábra helyezte a TK internetes féregvírus terjesztésével gyanúsított két fiatalembert. A 19 éves villanyszerelőt és 21 éves munkanélküli társát február 7-én tartóztatták le Durham megyében, közös brit-amerikai vizsgálat eredményeképpen. Azzal vádolják őket, hogy egy, az USA Illinois államában nemrég őrizetbe vett társukkal együtt tagjai voltak a THr34t-Krew nevű hackercsoportnak, amely az év elején szabadon engedte a TKbot féregvírust. A féreg mintegy 18 000 gépet fertőzött meg, s az okozott kárt öt és fél millió angol fontra becsülte az NHTCU, a csúcstechnológiával kapcsolatos bűncselekményeket vizsgáló brit rendőri osztag. A vádlottakat kihallgatásuk után óvadék ellenében április elejéig szabadlábra helyezték, ezalatt a rendőrség átvizsgálja az őrizetbe vételük során lefoglalt számítástechnikai eszközöket és más bizonyítékokat. Az IRC.Trojan néven is ismeretes TK féregvírus, amely a Microsoft IIS-szervereknek az unicode karakterlapok kezelésével kapcsolatos hibáját használja ki, lehetővé teszi a távoli gép merevlemezén található bármely könyvtár elérését. A megfertőződött szerverek nyitva állnak a számítógépes betörők számára, akik IRC-csatornán keresztül küldött parancsokkal adatokat lophatnak el a gépekről, vagy felhasználhatják azokat egy harmadik fél elleni ún. DDoS-támadásra. Mindez újabb indok arra, hogy telepítsük a Microsoft által kibocsátott biztonsági javításokat, amelyek közül az IIS-szerverekhez a legújabb frissítés megtalálható a www.microsoft.com/technet/security/bulletin/MS02-062.asp weboldalon.