A Trend Micro egy új IM-alapú (instant messaging - azonnali üzenetküldés) férget azonosított, amely az ITUNES.EXE fájlt használja rutinjai tárolásához. A WORM_OPANKI.Y féreg az AOL Instant Messengeren (a világ három legnagyobb azonnali üzenetküldő alkalmazásának egyike) keresztül terjed és az iTunes alkalmazás zenei letöltéseinek népszerűségét használja ki.
Az OPANKI.Y az "ez a kép mindig aktuális" ("this picture never gets old") üzenetet küldi a fertőzött rendszerről a felhasználó összes online kapcsolatának. Az elküldött üzenet egy hivatkozást tartalmaz egy letölthető fájlra, amely a hitelesség látszatát keltve JPG kiterjesztéssel rendelkezik. Ennek ellenére a letölthető fájlt ITUNES.EXE néven menti el a rendszer.
A hatásA hátsó ajtó képességek mellett az OPANKI.Y a következő négy ismert reklámprogram/szürke program alkalmazást helyezi el a számítógépen:
- ADW_DYFUCA.EI: Ez a reklámprogram egy "Internet Optimizer" nevű könyvtárat hoz létre, elhelyezve benne egy másik kémprogramot, amely felbukkanó hirdetéseket jelenít meg a fertőzött rendszeren.
- ADW_MEDTICKS.A: Ez a népszerű "Media Tickets1" elnevezésű reklámprogram (www.mediatickets.net) képes követni a felhasználó kattintásait és azok gyakoriságát a felbukkanó hirdetések megjelenítése mellett. A program 15 centet (USD) ígér a felhasználónak minden egyes, a hirdetőprogramra történő kattintásért. Számos változata létezik, melyek a híres MYTOB féregcsaládban is elterjedtek az utóbbi néhány hónapban. További információk a Trend Micro Virus Encyclopediában
- ADW_SOLU180.H: Ez a reklámprogram, a "Search Assistant" egy jól ismert szürke alkalmazás. Képes követni a fertőzött rendszer Internet Explorer alkalmazásának tevékenységét. Minden meglátogatott oldalról információkat küld a webet használók böngészési szokásainak feltérképezésére, és ezen szokásokat kihasználó felbukkanó hirdetéseket is megjelenít.
- ADW_SOLU180.K: Ez a reklámprogram általában - jelen esetben is - más reklámprogramokkal együtt érkezik.
Az azonnali üzenetküldő alkalmazásokon keresztül terjedő fenyegetések közismertek. Az első ilyen ismert féreg a WORM_MENGER.A 2001 májusában bukkant fel. A legtöbb IM-alapú fenyegetés a széles körben elterjedt három nagy IM szállítót használja, az AIM, az MSN Messenger és a Yahoo! Messenger termékeket. Mivel az azonnali üzenetküldést egyre többen használják, népszerű eszközévé vált a víruskészítőknek, hiszen lehetséges áldozatok millióit érik el, akik közül legtöbben nincsenek tisztában a vírusok és rosszindulatú kódok fenyegetéseivel.
Jamz Yaneza, a Trend Micro vírusvédelmi és tartalombiztonsági vállalat vírusvédelmi kutatómérnöke úgy gondolja, hogy az ilyen, a felhasználók hiszékenységének kihasználására alapozó technikák különösen hatékonyak lehetnek. "Az iPod és az iTunes népszerűségéből adódóan viszonylag könnyen összetéveszthető az ITUNES.EXE az eredeti alkalmazással. A felhasználók hiszékenységének hatékony kihasználása az emberek figyelmének megragadásában rejlik. Az emberek aktuális érdeklődésére alapozni jól bevált technikának számít." - nyilatkozta Yaneza.
A fenyegetés elleni védekezéshez a biztonsági szakemberek azt javasolják, hogy a felhasználók alaposan ellenőrizzék az AIM rendszerben kapott üzeneteiket - még akkor is, ha úgy tűnik, hogy azok forrása ismert.
A WORM_OPANKI.Y féregről és eltávolításáról további információk a
Trend Micro Virus Encyclopediában