Trend Micro: közepes szintű riasztás a WORM_NETSKY.Q féregre

forrás Prim Online, 2004. március 30. 14:14
A Trend Micro közepes szintű riasztást adott ki a WORM_NETSKY.Q féreg kapcsán a felhasználók tudatosságának növelése céljából. Ezt a féreget a csendes-óceáni térségben, többnyire Japánban észlelték. A tömeges levélküldő féreg ezen verziója, amely a levél olvasása vagy megtekintése során az Internet Explorer vírustelepítést lehetővé tevő sebezhető pontjait használja ki, a kódba beágyazva a vírus írójának üzenetét tartalmazza.

 

 

Az Oroszországból üzenő, magukat "SkyNet Antivirus Team" néven azonosító csoport vírusírói jogot formálnak a felhasználók oktatására, és részt kívánnak venni a hacker tevékenység, a programok feltörése és az illegális tartalommegosztás megelőzésében. "Nincs semmilyen bűnözői szándékunk," - állítja a rejtett üzenet. A vírusírók azt is részletezték, hogy nem használnak hátsó ajtókat a kéretlen levelek (spam) terjesztéséhez, nem gyerekek, és C++ magas szintű programozási nyelven programoznak. Az üzenet a következő mondattal zárul: "A felhasználóknak nem egy új víruskereső-frissítésre van szükségük, hanem jobb oktatásra!" A "SkyNet" a "Terminator" filmekből ismert öntudatos számítógép-rendszerre utal, amely apokaliptikus háborút indít az emberiség ellen.

 

"Azt állítják, hogy nem bűnözők. A NETSKY létrehozói nincsenek tudatában annak, hogy a tevékenységük többletköltséget jelent a cégek és szervezetek számára, akiknek harcolniuk kell a fertőzések ellen, vagy le kell állítaniuk egyes szolgáltatásokat," - magyarázta Joe Hartmann, a Trend Micro, Inc vírusvédelmi szakértője. "Nem léteznek "jó" vírusok, és a rosszindulatú kódok kiadása még "oktatási" célból sem etikus."

 

A NETSKY ezen változata levelezési hibaüzenetre emlékeztető fejléccel és üzenetszöveggel érkezik, és különböző méretű ZIP vagy PIF csatolt fájlokat tartalmaz. A futtatás után a WORM_NETSKY.Q elhelyez néhány fájlt a Windows mappában, többek között a saját másolatát, FIREWALLLOGGER.TXT néven. A rendszerleíró adatbázis egy bejegyzése okozza a memóriarezidens féreg automatikus futtatását a későbbi rendszerindítások során. A korábbi változatokhoz hasonlóan a NETSKY.Q ügyel arra, hogy ne küldje el magát számos biztonsági vállalathoz és szervezethez.

A WORM_NETSKY.Q a Windows 95, 98, ME, NT, 2000 és XP platformokon működik. Ez a féreg a következő néven is ismert: W32/Netsky.q@MM

A Trend Micro ügyfelei védettek a NETSKY.P ellen a 842-es számú legújabb mintafájl használata esetén. Az Outbreak Prevention Services ügyfelek az OPP 102 fertőzésmegelőzési házirend letöltésével védekezhetnek e fenyegetés terjedése ellen. A Damage Cleanup Services (kárelhárítási szolgáltatások) ügyfelek a 301-es sablonfájl letöltésével könnyíthetik meg az érintett rendszerek automatikus helyreállítását.