Prim Hírek

Trojan.Opnis.EM egy fertőzött email üzenettel érkezik a felhasználó levélfiókjába. Az üzenet minden esetben egy 11 kbájt hosszú, exepackerrel tömörített mellékletet hordoz - rendszerint egy adott listából generálódó megtévesztő névvel és félrevezető, kettős kiterjesztéssel. Maga a féreg egy Windows PE EXE típusú fájl, melyet a UPX segítségével tömörítettek össze.

Miután a gyanútlan felhasználó lefuttatja a programot, a féreg átmásolja magát egy 10 betűből álló, véletlenszerű névvel a Windows rendszer könyvtárába. A Windows rendszerleíró adatbázisában (Registry) pedig olyan bejegyzéseket hoz létre, amivel automatikusan lefuttathatja magát a rendszer minden egyes indításakor. Ezt követően a weben keresztül kapcsolatba lépni a http://www6.vedasetionkderun.com/ webhellyel és megpróbál erről a címről további kártékony állományokat letölteni. Emellett a helyi gépen fertőzhető email címek után kutat az összes elérhető merevlemezes meghajtón, végezetül, kapcsolódik a levelező szerverhez, és továbbküldi magát magát a megtalált címekre.

A levelek Tárgysora (Subject) egy listából véletlenszerűen generálódik, például:
"Good Day",
"Server Report",
"hello",
"picture",
"Status",
"test",
"Error",
"Mail Delivery System",
"Mail Transaction Failed".


Hasonlóképpen a melléklet állományok elnevezése is változó lehet, például:
"test.log.bat"
"readme.elm.exe"
"docs.txt.scr"

Jól látható, hogy a fájl minden esetben egy megtévesztő, a melléklet lefuttatását biztosító második fájlkiterjesztéssel is rendelkezik.

A levél törzsében az alábbi szövegek jelenhetnek meg:
"Mail transaction failed. Partial message is available"
"The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment"
"The message contains Unicode characters and has been sentas a binary attachment."

A féreg eltávolítása a VirusBuster antivírus termékeivel, a már futó folyamat leállításával, az állomány törlésével, valamint a regisztrációs bejegyzés törlésével lehetséges – javasolja Szappanos Gábor a VirusBuster víruslabor vezetője.

A Worm.Opnis.EM féreg eltávolításával kapcsolatos részletesebb információ a http://www.virusbuster.hu/hu/viruslabor/leirasok/opnis.em internetes oldalon olvasható.