Cellery-A féreg: olyan, mint a Tetris

Geza Papp, 2005. január 13. 17:22

A Sophos 2005. január 12-én 08:47:37 (GMT) észlelte a W32/Cellery-A-nak elnevezett, Windows rendszereket fertőző hálózati férget. A féreg hálózati megosztásokon terjed, és a fertőzött gép regisztrációs adatbázisába bejegyzi magát.

W32/Cellery-A terjedésekor előre meghatározott hálózati meghajtókra másolja magát.

Amikor első alkalommal fut a W32/Cellery-A féregprogram, a Windows mappába helyez, majd lejátszik egy tipikus MIDI állományt minuet.mid névvel, és ezzel párhuzamosan a képernyőn megnyit egy Tetris-játékhoz hasonló ablakot. Ugyanakkor a Windows System mappába bemásolja magát format32.exe néven.

A Windows rendszerrel való állandó futása érdekében a regisztrációs adatbázis alábbi kulcsaihoz jegyzi be magát:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Systrsy
"format32.exe"

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Systrsy
"format32.exe"

A format32.exe, amikor fut, a Windows Tasks mappába beírja egy másolatát sys32.exe néven - kiépítve egy megfelelő háttérfolyamatot, ami során a W32/Cellery-A megkísérli megosztani a Task mappában lévő másolata alkalmazásával, mint admin$ a Documents and settingsAll Users mappa a alábbi hálózati meghajtóit:

C$, D$, E$, G$ H$ és I$.

A Sophos vírusszakértői hozzátették beszámolójukban, hogy a Cellery-A féreg pontosan olyan, mint ha a klasszikus orosz PC játék, a Tetris lenne. Jelezték még azt a tulajdonságát, hogy a fertőzés megtörténtekor a képernyőre a "Chancellery" üzenetet írja ki. Amíg a zene szól, és a "játék fut", a féreg keresi a megosztott hálózati meghajtókat, megpróbálva a "kapcsolódó" gépeket megfertőzni.

"A féreg Tetris játéka olyan, 'mint a ködösítése' annak a folyamatnak, ahogyan megpróbálja a hálózaton számítógépről számítógépre 'szökdécselve' megfertőzni azokat" - mondta Graham Cluley. "Ha egy irodában játékot kedvelők dolgoznak együtt, a munkatársak könnyen hihetik azt, hogy valaki egy újabb játékot telepített a gépére, mint hogy arra gondolnának, hogy mindez egy 'vírus játéka' egy fertőzött gépen."

A Cellery nem az első vírus vagy féreg, ami úgy hiteti el a felhasználóval, hogy nem más, nem "fertőzés", csak egy PC-játék. A Bibrog féreg olyan volt, mint egy lövöldözős játék, míg az Coconut féreg (amit egy "Gigabyte" nicknevű belga nő írt) alkalmat adott a felhasználónak, hogy rendszerbiztonsági szakértők fényképeit kókuszdióval dobálják.

"A komputerfelhasználók nyugodtan játszhatnak, de ne feledkezzenek el a vírusvédelmük ellenőrzéséről sem" - tette hozzá Graham Cluley. "Mindez 'aranyos játéknak' tűnhet - folytatta -, de mégsem más, mint egy féreg. Napjainkban, amikor már havonta kb. ezer vírust észlelünk, mindenkinek kötelessége lenne védeni megfelelő módon a fertőzésektől a saját gépét, és ezen keresztül a számítástchnika infrastruktúráját egyaránt."