Az F-Secure egy "vírushétvége" által okozott támadásokra figyelmeztet

forrás Prim Online, 2004. március 2. 14:59
A Netsky két új variánsát, és a Bagle öt új verzióját fedezték fel péntek óta. A víruskészítők keményen dolgoztak az utóbbi napokban, hiszen február 27-e óta a Netsky féregből kettő, a Bagle féregből pedig öt új verzió jelent meg. E férgek közül a március 1-én felfedezett Netsky.D a legelterjedtebb.
A Netsky víruscsalád viszonylag egyszerű Windows férgekből áll, melyek e-mailen keresztül terjednek. Ezen férgek fő funkciója, hogy meglehetősen agresszívan terjednek PIF kiterjesztésű csatolt állományokon keresztül. A terjedésen kívül a Netsky.D csupán véletlenszerű csipogást hallat a PC hangszóróján keresztül március 2-án, kedden délelőtt, más romboló vagy káros funkciója nincs.

„Véleményünk szerint a Netsky.D gyors terjedésének oka, hogy rengeteg e-mail címre jutott el spamként a hétfői nap folyamán" - nyilatkozta Mikko Hypponen, az F-Secure vírusvédelmi kutatási igazgatója. „Ha ilyen mértékben terjed tovább, akkor megdöntheti a Mydoom.A és Sobig.F rekordját is." -tette hozzá Hypponen.

Az F-Secure a Netsky.D kódról hétfőn F-Secure Radar Level 1-es riasztást adott ki, ami a legmagasabb riasztási szint.

A Bagle.C, .D, .E, .F és .G néven ismert új Bagle variánsok mindegyikét a hétvége folyamán fedezték fel. Az eredeti Bagle.A (más néven Beagle) egy Windows e-mail féreg, melyet 2004. január 18-án fedeztek fel, mindössze 24 óra alatt terjedt el az egész világon.

Valószínűleg a Bagle mind az öt új verzióját ugyanaz a személy készítette. „Úgy tűnik, hogy az író vírusháborút folytat,” - mondta Hypponen. „Láthatóan figyelte, hogy a vírusvédelmi szállítók milyen gyorsan adják ki a felismerő csomagokat, majd módosításokat végzett a felismerés elkerüléséhez, és azonnal kiadta az új verziókat." - árulta el a finn szakember.

Az F-Secure a Bagle kódokról a hétvégén F-Secure Radar Level 2 szintű riasztást adott ki.

A Bagle.F és .G egy érdekes jellemzővel is rendelkezik. Mindkettő egy jelszóval védett tikosított zip fájlban küldi a fertőzött fájlokat, és az e-mail tartalmazza a jelszót. A ZIP dokumentum változik, mivel a benne található EXE fájl egy véletlenszerű részt is tartalmaz. A vírus valószínűleg így próbálja megkerülni az átjáró és szerver szintű keresőeszközöket, melyek nem feltétlenül képesek az ilyen tömörített fájlok belső vizsgálatára.

Emellett a Bagle.F félrevezető ikonokat használ, melyeknek köszönhetően a fertőzött csatolt állományok mappáknak néznek ki, ezért ártalmatlannak tűnnek a végfelhasználó számára.

A Bagle mappa ikonok képe az említett vírusok fejlődését figyelemmel kísérő F-Secure Weblogon tekinthetők meg. A Netsky.D által lejátszott hang felvétele is letölthető erről a weblogról, a következő címről: http://www.f-secure.com/weblog/.

Az F-Secure Anti-Virus felismeri és eltávolítja az összes új Netsky és Bagle variánst. Az F-Secure Anti-Virus a <http://www.f-secure.com> címről tölthető le.

Az F-Secure ingyenes eszközöket is kiadott, melyek a Bagle vagy Netsky féreg fertőzött rendszerekről történő eltávolítására használható. Az eszközök letölthetők az F-Secure Virus Information Center weboldaláról, a <http://www.f-secure.com/v-descs/> címről.