Prim Hírek

Tegnap és ma egymás után kaptam a leveleket, a vírusriasztásokat különböző helyekről, volt bennük különbség, de három egyforma mondat volt bennük: "minden adatot töröl" - illetve egy dátum sor: "06 - án, 13 - án, 21 - én, 28 - án." Ezen túl még a legfontosabb: "VBS vírus".

A levelek küldői között szerepeltek a: Symantec Security Response - VBS.Pub, SysAdmin.it - VIRUS, Alerta-Antivirus.es: Detalles del virus Pub, Sophos Plc, NOD32, VirusBuster, SANS - Internet Storm Center - Cooperative Cyber Threat Monitor ..., Netcraft, KPN-CERT - Computer Emergency Response Team, és a KP24.de.

Gyakorlatilag minden leírás megegyezett lényegében az új, veszélyesnek tűnő féregről, ezért külön nem jelölöm, hogy melyik információ honnan származik - összevetve mindezt a kifejezetten veszélyes vírusról az alábbiakat sikerült megtudni - arról a vírusról, melyről már e hónap 5-től voltak információk, de mindenki bízott abban, hogy a kifejezetten romboló, a merevlemezek összes adatát törlő tulajdonság nincs a kódjában. Az elvégzett, igen alapos vizsgálatok ennek az ellenkezőjét igazolták.

A Symantec által igen alaposan analizált vírus a VBS.Pub nevet kapta. Először június 5 - én észlelték, majd a teljes vizsgálatát június 8 - án délelőtt 09 óra 44 - kor fejezték be, és az eredményeket akkor tették közzé:

A VBS.Pub egy VBScript fertőző fájl, mely levelek tömeges küldésére képes (spammer tulajdonság), és így is terjed, - a levelek mellékleteként. A melléklet lehet .asp, .hta, .htm, .htt, .html,. vbe, és .vbs. kiterjesztésű fertőző állomány.
A féreg a levélküldéshez a Microsoft Outlookot használja, így terjeszti magát mindazon címre, amit a Microsoft Outlook Address Book - ban megtalál.

Jellemzőiről a következőket érdemes tudni: típusa - worm, a fertőző kód mérete 5,832 byt. Nem minden operációs rendszert fertőz meg, az érintett rendszerek, melyek fokozott védelmet igényelnek: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003.
Nem fertőzi a következőket: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x

Előfordulási mutatói:

In The Wild: (a Hálózaton)

Fertőzések száma: 0 - 49
Fertőzett weboldalak száma: 0 - 2
Földrajzi eloszlás: Csak pandemiáról - kis területi eloszlásról beszélhetünk
Észlelése: Könnyű
Eltávolítás: Könnyű
A fertőzési fenyegetettség: időponthoz, és földrajzi helyez kötött.
Károkozása: jelentős (kifejezetten a károkozó férgek közé sorolandó)
Terjedése: gyors - e-maileken terjed.

A Virus Bulletinben olvastam a CIH, illetve a Klez vírusokkal kapcsolatban egy kifejezést - "a kód darwini fajfenntartásra emlékeztető programja" Először nem értettem, de tovább olvasva érthetővé vált - az a program, ami alapján, és aminek felhasználásával a féreg elpusztít, átprogramoz mindent, ami a terjedését veszélyeztetné. Jelen esetben a WBS.Pub az általa fertőzött állományokat átírja. Ez nem csak úgy értendő, hogy a .htm állomány .vbs kiterjesztésre változtatja, hanem úgy, hogy e mellett a fertőzött fájl "read only" (csak olvasható) lesz, tehát még egyszer nem lehet fertőzni (kíméli a fertőzési időt) ill. más program előtt is írásvédett lesz. Ezzel a féreg "időt, és számtalan megváltoztathatatlan új állományt nyer meg a fertőzés terjedésének.

A VBS.Pub polimorf féreg - ami egy érdekes, külön regényt igénylő féregcsoport. Fertőzésekor számtalan "elterelő műveletet képes végezni - programja alapján, míg eléri célját" - esetünkben ez a folyamat kifejezetten ritka módon önszabályozó. Asp,.hta,.htm,.htt,.html,.vbe, és .vbs. kiterjesztésűek a fertőzött levél mellékletek.

Futtatható .htm állományok esetében először egy .vbs változatot hoz létre, melyből a Windows könyvtárban az alábbi állomány lesz - természetesen fertőző: %Windir%\Pubrn.vbs

A levelekre jellemző, hogy szöveget nem tartalmaznak,
a tárgysoruk: Re,
és e mellett a felsorolt kiterjesztésű fertőző állományt hordozzák csatolt fájlként: asp,.hta,.htm,.htt,.html,.vbe, vagy.vbs.

Elvileg minden hónap - 6-án, 13-án, 21-én, 28-án aktiválódik, és minden állományt töröl a rendszerből.

Ennyit sikerült megtudni egy új, veszélyes, és kifejezetten romboló féregről. Az aktiválási dátumok között én összefüggést nem találtam. Biztos, hogy van, de ehhez a vírusíró, vagy írató lélektanát kellene ismerni. Kérem frissítsék rendszerüket. Fertőzés gyanúja esetén azonnal keressenek removal tool-t, mely a Symantec lapján is található.

Vírusmentes napot!

Geza Papp dr.
Networksecurity and Virusanalyst