Vírusriasztás: A VBS.Pub kifejezetten veszélyes
Geza Papp, 2004. június 9. 19:19
1986 április 26. Nem tudom, hogy ez a dátum mit mond Önöknek- vagy
esetleg 1988 április 26- a? Lehet, hogy az első dátumra válaszolni
könnyebb: akkor volt a Csernobili Katasztrófa". A másik időpont egy
vírus kanossza járásának kezdetét jelenti. Taiwanon ekkor észleltek egy
vírust, mely csak ezen a napon fertőzött, a fertőzés igen gyorsan
terjedt, és a megfertőzött gépek merevlemezein tárolt összes adatot
törölte. Később ez a variáns havonta, 26-án megismételte "akcióját".
Miután nem fért kétség a vírus pusztításainak időpontja, és a
Katasztrófa közötti összefüggésre a vírust, és variánsait:
W95/CIH.1003 Win95 vírus, W32/CIH.Spacefiller, Chernobyl,
W95/CIH.1003, CIH, Win95.CIH, W95.CIH nevekkel illették. Azóta volt
hasonlóan nagy pusztítást végző, a Chernobylhoz hasonlító vírus, pl. a
Klez - de olyan nem volt, mely a fertőzött rendszerről adott napokon
mindent letörölt volna.
Tegnap és ma egymás után kaptam a leveleket, a vírusriasztásokat különböző helyekről, volt bennük különbség, de három egyforma mondat volt bennük: "minden adatot töröl" - illetve egy dátum sor: "06 - án, 13 - án, 21 - én, 28 - án." Ezen túl még a legfontosabb: "VBS vírus".
A levelek küldői között szerepeltek a: Symantec Security Response - VBS.Pub, SysAdmin.it - VIRUS, Alerta-Antivirus.es: Detalles del virus Pub, Sophos Plc, NOD32, VirusBuster, SANS - Internet Storm Center - Cooperative Cyber Threat Monitor ..., Netcraft, KPN-CERT - Computer Emergency Response Team, és a KP24.de.
Gyakorlatilag minden leírás megegyezett lényegében az új, veszélyesnek tűnő féregről, ezért külön nem jelölöm, hogy melyik információ honnan származik - összevetve mindezt a kifejezetten veszélyes vírusról az alábbiakat sikerült megtudni - arról a vírusról, melyről már e hónap 5-től voltak információk, de mindenki bízott abban, hogy a kifejezetten romboló, a merevlemezek összes adatát törlő tulajdonság nincs a kódjában. Az elvégzett, igen alapos vizsgálatok ennek az ellenkezőjét igazolták.
A Symantec által igen alaposan analizált vírus a VBS.Pub nevet kapta. Először június 5 - én észlelték, majd a teljes vizsgálatát június 8 - án délelőtt 09 óra 44 - kor fejezték be, és az eredményeket akkor tették közzé:
A VBS.Pub egy VBScript fertőző fájl, mely levelek tömeges küldésére képes (spammer tulajdonság), és így is terjed, - a levelek mellékleteként. A melléklet lehet .asp, .hta, .htm, .htt, .html,. vbe, és .vbs. kiterjesztésű fertőző állomány.
A féreg a levélküldéshez a Microsoft Outlookot használja, így terjeszti magát mindazon címre, amit a Microsoft Outlook Address Book - ban megtalál.
Jellemzőiről a következőket érdemes tudni: típusa - worm, a fertőző kód mérete 5,832 byt. Nem minden operációs rendszert fertőz meg, az érintett rendszerek, melyek fokozott védelmet igényelnek: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003.
Nem fertőzi a következőket: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x
Előfordulási mutatói:
In The Wild: (a Hálózaton)
Fertőzések száma: 0 - 49
Fertőzett weboldalak száma: 0 - 2
Földrajzi eloszlás: Csak pandemiáról - kis területi eloszlásról beszélhetünk
Észlelése: Könnyű
Eltávolítás: Könnyű
A fertőzési fenyegetettség: időponthoz, és földrajzi helyez kötött.
Károkozása: jelentős (kifejezetten a károkozó férgek közé sorolandó)
Terjedése: gyors - e-maileken terjed.
A Virus Bulletinben olvastam a CIH, illetve a Klez vírusokkal kapcsolatban egy kifejezést - "a kód darwini fajfenntartásra emlékeztető programja" Először nem értettem, de tovább olvasva érthetővé vált - az a program, ami alapján, és aminek felhasználásával a féreg elpusztít, átprogramoz mindent, ami a terjedését veszélyeztetné. Jelen esetben a WBS.Pub az általa fertőzött állományokat átírja. Ez nem csak úgy értendő, hogy a .htm állomány .vbs kiterjesztésre változtatja, hanem úgy, hogy e mellett a fertőzött fájl "read only" (csak olvasható) lesz, tehát még egyszer nem lehet fertőzni (kíméli a fertőzési időt) ill. más program előtt is írásvédett lesz. Ezzel a féreg "időt, és számtalan megváltoztathatatlan új állományt nyer meg a fertőzés terjedésének.
A VBS.Pub polimorf féreg - ami egy érdekes, külön regényt igénylő féregcsoport. Fertőzésekor számtalan "elterelő műveletet képes végezni - programja alapján, míg eléri célját" - esetünkben ez a folyamat kifejezetten ritka módon önszabályozó. Asp,.hta,.htm,.htt,.html,.vbe, és .vbs. kiterjesztésűek a fertőzött levél mellékletek.
Futtatható .htm állományok esetében először egy .vbs változatot hoz létre, melyből a Windows könyvtárban az alábbi állomány lesz - természetesen fertőző: %Windir%\Pubrn.vbs
A levelekre jellemző, hogy szöveget nem tartalmaznak,
a tárgysoruk: Re,
és e mellett a felsorolt kiterjesztésű fertőző állományt hordozzák csatolt fájlként: asp,.hta,.htm,.htt,.html,.vbe, vagy.vbs.
Elvileg minden hónap - 6-án, 13-án, 21-én, 28-án aktiválódik, és minden állományt töröl a rendszerből.
Ennyit sikerült megtudni egy új, veszélyes, és kifejezetten romboló féregről. Az aktiválási dátumok között én összefüggést nem találtam. Biztos, hogy van, de ehhez a vírusíró, vagy írató lélektanát kellene ismerni. Kérem frissítsék rendszerüket. Fertőzés gyanúja esetén azonnal keressenek removal tool-t, mely a Symantec lapján is található.
Vírusmentes napot!
Geza Papp dr.
Networksecurity and Virusanalyst