Vírusriasztás: A VBS.Pub kifejezetten veszélyes
A levelek küldői között szerepeltek a: Symantec Security Response - VBS.Pub, SysAdmin.it - VIRUS, Alerta-Antivirus.es: Detalles del virus Pub, Sophos Plc, NOD32, VirusBuster, SANS - Internet Storm Center - Cooperative Cyber Threat Monitor ..., Netcraft, KPN-CERT - Computer Emergency Response Team, és a KP24.de.
Gyakorlatilag minden leírás megegyezett lényegében az új, veszélyesnek tűnő féregről, ezért külön nem jelölöm, hogy melyik információ honnan származik - összevetve mindezt a kifejezetten veszélyes vírusról az alábbiakat sikerült megtudni - arról a vírusról, melyről már e hónap 5-től voltak információk, de mindenki bízott abban, hogy a kifejezetten romboló, a merevlemezek összes adatát törlő tulajdonság nincs a kódjában. Az elvégzett, igen alapos vizsgálatok ennek az ellenkezőjét igazolták.
A Symantec által igen alaposan analizált vírus a VBS.Pub nevet kapta. Először június 5 - én észlelték, majd a teljes vizsgálatát június 8 - án délelőtt 09 óra 44 - kor fejezték be, és az eredményeket akkor tették közzé:
A VBS.Pub egy VBScript fertőző fájl, mely levelek tömeges küldésére képes (spammer tulajdonság), és így is terjed, - a levelek mellékleteként. A melléklet lehet .asp, .hta, .htm, .htt, .html,. vbe, és .vbs. kiterjesztésű fertőző állomány.
A féreg a levélküldéshez a Microsoft Outlookot használja, így terjeszti magát mindazon címre, amit a Microsoft Outlook Address Book - ban megtalál.
Jellemzőiről a következőket érdemes tudni: típusa - worm, a fertőző kód mérete 5,832 byt. Nem minden operációs rendszert fertőz meg, az érintett rendszerek, melyek fokozott védelmet igényelnek: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003.
Nem fertőzi a következőket: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x
Előfordulási mutatói:
In The Wild: (a Hálózaton)
Fertőzések száma: 0 - 49
Fertőzett weboldalak száma: 0 - 2
Földrajzi eloszlás: Csak pandemiáról - kis területi eloszlásról beszélhetünk
Észlelése: Könnyű
Eltávolítás: Könnyű
A fertőzési fenyegetettség: időponthoz, és földrajzi helyez kötött.
Károkozása: jelentős (kifejezetten a károkozó férgek közé sorolandó)
Terjedése: gyors - e-maileken terjed.
A Virus Bulletinben olvastam a CIH, illetve a Klez vírusokkal kapcsolatban egy kifejezést - "a kód darwini fajfenntartásra emlékeztető programja" Először nem értettem, de tovább olvasva érthetővé vált - az a program, ami alapján, és aminek felhasználásával a féreg elpusztít, átprogramoz mindent, ami a terjedését veszélyeztetné. Jelen esetben a WBS.Pub az általa fertőzött állományokat átírja. Ez nem csak úgy értendő, hogy a .htm állomány .vbs kiterjesztésre változtatja, hanem úgy, hogy e mellett a fertőzött fájl "read only" (csak olvasható) lesz, tehát még egyszer nem lehet fertőzni (kíméli a fertőzési időt) ill. más program előtt is írásvédett lesz. Ezzel a féreg "időt, és számtalan megváltoztathatatlan új állományt nyer meg a fertőzés terjedésének.
A VBS.Pub polimorf féreg - ami egy érdekes, külön regényt igénylő féregcsoport. Fertőzésekor számtalan "elterelő műveletet képes végezni - programja alapján, míg eléri célját" - esetünkben ez a folyamat kifejezetten ritka módon önszabályozó. Asp,.hta,.htm,.htt,.html,.vbe, és .vbs. kiterjesztésűek a fertőzött levél mellékletek.
Futtatható .htm állományok esetében először egy .vbs változatot hoz létre, melyből a Windows könyvtárban az alábbi állomány lesz - természetesen fertőző: %Windir%\Pubrn.vbs
A levelekre jellemző, hogy szöveget nem tartalmaznak,
a tárgysoruk: Re,
és e mellett a felsorolt kiterjesztésű fertőző állományt hordozzák csatolt fájlként: asp,.hta,.htm,.htt,.html,.vbe, vagy.vbs.
Elvileg minden hónap - 6-án, 13-án, 21-én, 28-án aktiválódik, és minden állományt töröl a rendszerből.
Ennyit sikerült megtudni egy új, veszélyes, és kifejezetten romboló féregről. Az aktiválási dátumok között én összefüggést nem találtam. Biztos, hogy van, de ehhez a vírusíró, vagy írató lélektanát kellene ismerni. Kérem frissítsék rendszerüket. Fertőzés gyanúja esetén azonnal keressenek removal tool-t, mely a Symantec lapján is található.
Vírusmentes napot!
Geza Papp dr.
Networksecurity and Virusanalyst
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
Biztonságtechnika ROVAT TOVÁBBI HÍREI
Már a gyerekünk hangján követelnek tőlünk pénzt: hogyan kerülhetjük el, hogy csalók áldozatává váljunk?
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást és azt hallani, hogy a gyermeke segítségért kiált. Aztán az állítólagos “emberrabló” szól bele a telefonba, és váltságdíjat követel, ellenkező esetben soha többé nem láthatjuk a fiunkat vagy a lányunkat. Az ESET kiberbiztonsági szakértői szerint a csalók a jövőben egyre gyakoribbá váló telefonos átverések során a mesterséges intelligenciára támaszkodva súlyos érzelmi és anyagi károkat okozhatnak az áldozatoknak.
Romantika helyett átverés Valentin-napon? Kerüljük el a csalásokat a szerelem ünnepén!
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés: korábban nem ismert módokon keressük a szerelmet. A társkereső alkalmazásoknak 2022-ben világszerte több mint 350 millió felhasználójuk volt. Bár ilyen összetett hazai statisztikai adat nem ismeretes, de például az 1999-es alapítású magyar Randivonal.hu oldalt az évek során több, mint 3 millióan próbálták ki. Akár a telefonunkon is átlapozhatjuk potenciális jelöltjeink online katalógusát – a rémes beszélgetések és a kínos dupla randik ideje lejárt. Persze itt sem mindenki a szerelmet keresi: Valentin-nap alkalmából az ESET szakértői tanácsokat adnak arra vonatkozóan, hogyan akadályozhatjuk meg, hogy a csalók a szívünkön túl az értékeinket is ellopják.
Rendelhetek biztonságosan a Temuról? – Minden, amit tudnunk kell, mielőtt az új webáruházból vásárolunk
Valószínűleg nincs olyan közösségi média használó, aki az elmúlt időszakban ne találkozott volna a világ egyik legnagyobb webáruháza, a Temu hirdetéseivel. 3000 Ft egy pár sportcipőért? Számítógépes billentyűzet 4000 forintért? Látszólag verhetetlen ajánlatok. Köszönhetően a több tízmilliósra becsült termékkínálatnak és a rendkívül alacsony áraknak, az oldal tömegeket vonz, olyannyira, hogy a Temu a világ legtöbbször letöltött vásárlási appja lett. Vajon a Temu előretörése milyen hatással van a környezetre, a termékbiztonságra és jogszerűen működik-e a webáruház?
Érinteni vagy nem érinteni: biztonságosabbak az NFC-fizetések?
A mágnescsíkos bankkártyák nagyjából 20 évvel ezelőtt jöttek divatba, de amellett, hogy az aláírások szükségessége megnehezítette a tranzakciókat, nem rendelkeztek megfelelő adattitkosítással. Biztonsági szempontból egyértelmű előrelépést jelentettek utódaik, a chipalapú kártyák, melyek az adattitkosítás révén fokozott biztonságot nyújtanak. Az ESET kutatói szerint ezek a kártyák továbbra is alkalmasak klónozásra vagy adatlopásra, bár az ilyen bűncselekmények elkövetése nagyobb kihívást jelent a bűnözők számára, mint a mágnescsíkos kártyák esetében. Közben pedig az érintésmentes fizetések egyre gyakoribbak – de vajon biztonságosabbak, mint a hagyományos fizetési módok?
Neked is az az újévi fogadalmad, hogy végre biztonságossá teszed az online életedet?
A január jó alkalom arra, hogy rendet tegyünk nem csak a fizikai környezetünkben, hanem a minket körülvevő virtuális világban is. Az ESET kiberbiztonsági szakértői szerint ennek épp itt az ideje: ha mindenki tudatosan óvná adatait, akkor az online csalók nem tudnának boldogulni. 2023-ban 10 milliárd forintot csaltak ki magyar károsultaktól – és ez az összeg évről évre csak nő. Ha nem akarjuk, hogy idén tovább emelkedjen a károsultak száma, ideje kézbe venni a kiberbiztonságunkat.