Vírusveszély 1. - I-Worm.MyPics

Szalkai Ákos, 1999. december 8. 22:35
A Kaspersky Lab nemzetközi antivíruscég felhívja a számítógép-használók figyelmét egy frissen felfedezett Melissa-szerű internetféregre, az I-Worm.MyPics nevű vírusra. A féregből már vadon élő példányt is találtak.
Az I-Worm.MyPics e-mailben terjed az interneten. A féreg maga egy végrehajtható, 34 304 byte hosszú, Visual Basicben íródott Windows EXE állomány. A féreg rendkívül veszélyes töltetet hordoz, amely súlyosan károsíthatja a fertőzött számítógépeken tárolt adatokat.

A fertőzés jelei

A vírus jelenléte egy adott számítógépen akár kézi úton is kideríthető, a következő módok egyikén:

1. Nézze meg az aktív alkalmazások listáját az ALT és a TAB billentyűk lenyomásával. A féreg alkalmazásának neve "MYPICS".

2. Vizsgálja meg a rendszerleíró adatbázist. A féreg Windows 9x-en a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, Windows NT-n pedig a HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run alatt "C:\Pics4You.exe" értékű kulcsokat hoz létre.

3. Ellenőrizze az Internet Explorer kiindulási lapját. A féreg ezt a http://www.geocities.com/SiliconValley/Vista/8279/index.html weblapra állítja át.

Telepítés

A vírus e-mailhez kapcsolt PICS4YOU.EXE nevű állományként érkezik. Az üzenetnek üres a tárgymezője, és a következő szöveget tartalmazza:

Here's some pictures for you! (Íme néhány kép neked!)

A csatolt állomány végrehajtásakor a féreg átveszi az irányítást, és "MYPICS" nevű aktív alkalmazásként a memóriában marad. Ezek után elindítja a telepítőrutinját, és regisztrálja magát a Windows rendszerleíró adatbázisában.

Terjedés

A telepítőrutin befejeződésekor a féreg hozzálát saját másolatainak szétküldéséhez az interneten. Ez a rész megegyezik a márciusban felfedezett Melissa vírus terjedési módjával. Az I-Worm.MyPics megnyitja az MS Outlook levelező adatbázisát, és az innen kiolvasott legfeljebb 50 címre csendben elküldi magát. A féreg ezt a lépést egy gépen csak egyszer teszi meg. Ennek ellenőrzéséhez a rendszerleíró adatbázis HKEY_CURRENT_USER\Software\Microsoft\Office bejegyzése alatt hoz létre egy kulcsot, amit minden indulásakor ellenőriz.

Töltet

A féreg rendkívül veszélyes töltettel rendelkezik. Amennyiben a gépóra dátuma a 2000. évben van, felülírja a C:\AUTOEXEC.BAT állományt két paranccsal, amelyek megformázzák a C: és a D: meghajtókat. Ezen kívül létrehoz és lefuttat egy C:\CBIOS.COM nevű állományt, ami átírja a CMOS memóriát (törli a CMOS CRC mezőt). A vírus különösen kártékony tulajdonsága lehet az, hogy az időzítése miatt valószínűleg több felhasználó a 2000. évvel kapcsolatos problémára fog gyanakodni az aktivizálódásakor.

Megelőzés és eltávolítás

Amennyiben ön PICS4YOU.EXE nevű állományt kap e-mailben, semmiképpen se nyissa meg; egyszerűen törölje. Ne felejtse, hogy még megbízható forrásból érkező üzenetek is tartalmazhatják a férget, hiszen az a felhasználó tudta nélkül terjed. A vírus felismeréséhez és eltávolításához szükséges adatbázis-frissítés megtalálható a 2F 2000 Kft. weblapján, a http://www.2f.hu/files/avp/32bit/UP991205.zip címen.