W32/Bagle.j@MM: közepesen veszélyes a vírus újabb variánsa

Több, részben valós összetevőből generálja az email szövegét az új változat

forrás Prim Online, 2004. március 3. 13:28
Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Bagle.j@MM email-férget. A közlemény szerint az új variáns is "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A Bagle.j is időkorlátos, lejárati ideje 2004. április 25-e.
A W32/Bagle.j@MM is tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát az ADB, ASP, CFG, CGI,DBX, EML, HTM, MDX, MMF, MSG, NCH, ODS, PHP, PL, SHT, TBB, TXT, UIN, WAB, XML, fájlokból összegyűjtött címekre. Ez a verzió is kihagyja a hotmail.com, az msn.com, a Microsoft és az avp tartományok alá tartozó címek mellett a local, noreply, a postmaster@ és a root@ tartalmúakat is. Ezután a vírus megkísérli leállítani a gépen futó biztonsági szoftvereket.

A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 2745-ös port-on keresztül vár utasításokat. A vírus megpróbálja felvenni a kapcsolatot írójával, egy php kód lehívásának segítségével:

http://postertog.de/scr.php
http://www.gfotxt.net/scr.php
http://www.maiklibis.de/scr.php

A vírus IRUN4.EXE néven, ezúttal egy szöveges fájl ikont használva másolja magát a Windows rendszerkönyvtárba, például:

· C:\WINNT\SYSTEM32\ IRUN4.EXE (21318 bájt)
Az indításkor a vírus az alábbi kulcs segítségével tölti be magát:

· HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "ssate.exe" = C:\WINNT\SYSTEM32\irun4.exe

A fertőzött email további ismertetőjegyei:

Feladó: (Hamis cím)

Tárgy:
· E-mail account security warning.
· Notify about using the e-mail account.
· Warning about your e-mail account.
· Important notify about your e-mail account.
· Email account utilization warning.
· Notify about your e-mail account utilization.
· E-mail account disabling warning.

Szöveg: A szövegtest ebben a verzióban több összetevőből épül fel, hogy a lehető leghivatalosabbnak tűnjön

Üdvözlés:
· Dear user of (a felhasználó tartománya) ,
· Dear user of (a felhasználó tartománya) gateway e-mail server,
· Dear user of e-mail server "(a felhasználó tartománya) ",
· Hello user of (a felhasználó tartománya) e-mail server,
· Dear user of "(a felhasználó tartománya) " mailing system,
· Dear user, the management of (a felhasználó tartománya) mailing system wants to let you know that,
Ahol a felhasználó tartománya a címzett mezőből származik. Például: a felhasználó tartománya a user@mail.com esetben a "mail.com"
Szövegtest:
· Your e-mail account has been temporary disabled because of unauthorized access.
· Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free
auto-forwarding service.
· Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
· We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
· Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
· Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

A csatolt állomány magyarázata:

· For more information see the attached file.
· Further details can be obtained from attached file.
· Advanced details can be found in attached file.
· For details see the attach.
· For details see the attached file.
· For further details see the attach.
· Please, read the attach for further details.
· Pay attention on attached file.

Jelszóinformáció - (ha ZIP fájl)

· For security reasons attached file is password protected. The password is "(öt véletlenszerű szám) ".
· For security purposes the attached file is password protected. Password is "(öt véletlenszerű szám) ".
· Attached file protected with the password for security reasons. Password is (öt véletlenszerű szám) .
· In order to read the attach you have to use the following password: (öt véletlenszerű szám).

Lezárás:

· The Management,
· Sincerely,
· Best wishes,
· Have a good day,
· Cheers,
· Kind regards,

A (a felhasználó tartománya) team. http://www.(a felhasználó tartománya)
Az első, opcionális rész a listából származik, a második állandó.

Csatolt állomány: lehetséges egy jelszóvédelemmel ellátott ZIP fájl, de a kiterjesztés lehet EXE, vagy PIF is.

· Attach
· Information
· Readme
· Document
· Info
· TextDocument
· TextFile
· MoreInfo
· Message

A W32/Bagle.j@MM vírust március 2-án fedezték fel, az aznap kiadott 4332-es DAT fájl már tartalmazza a vírus felismeréséhez szükséges információkat. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://www.networkassociates.com/us/downloads/updates/dat.asp címen.

További információ a W32/Bagle.j@MM féregvírusról a http://vil.nai.com/vil/content/v_101071.htm
címen.

Az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp


Biztonságtechnika ROVAT TOVÁBBI HÍREI

Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen

Megérkezett az ESET otthoni kiberbiztonsági megoldások új verziója, amely olyan új funkciókkal bővült, mint az ESET Folder Guard, mellyel a felhasználók védett mappákat tudnak létrehozni, vagy a Dark Web Vizsgálat, amely képes riasztani, ha a személyes adataink felbukkannak a dark webes piactereken, fórumokon. Ez az új személyazonosságvédelmi modul mostantól globálisan elérhető.

2024. november 19. 13:02

Az ESET Magyarországon is elérhetővé tette az ESET Servicest, amely többek között biztosítja a gyors, felügyelt EDR (XDR) szolgáltatást is

A különböző méretű vállalkozásoknak egyre nehezebb lépést tartani, védekezni a gyorsan változó, nagy számú kibertámadással szemben. A szakképzett emberi erőforráshiány miatt sokan nehezen tudják egyedül, házon belül kezelni online biztonságukat. A nem megfelelő biztonsági intézkedések, vagy ezek teljes hiánya gyakran megakasztja, vagy akár le is állíthatja az üzletmenetet, illetve a kritikus informatikai erőforrásokhoz és adatokhoz való hozzáférést. Az ESET szakértői most ezekre a kihívásokra kínálnak megoldást, lehetővé téve a vállalatok számára, hogy erőforrásaikat fő üzleti tevékenységeikre összpontosítsák. Az ESET a kiberbiztonság egyik legfontosabb szereplőjeként elindította az év 365 napján, a nap 24 órájában angol nyelven elérhető ESET Servicest.

2024. november 8. 10:33

NFC adatokat továbbító Androidos kártevőt fedezett fel az ESET kutatócsoportja

Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba. Az ESET által NGate-nek elnevezett Android alapú kártékony szoftver újszerű módon képes az áldozatok bankkártyáinak adatait a támadók telefonjára továbbítani. A támadók elsődleges célja az volt, hogy ATM-eken keresztül készpénzt vegyenek fel az áldozatok bankszámláiról. Ezt úgy érték el, hogy a fizikai bankkártyák NFC-adatait a támadó készülékére továbbították az NGate malware segítségével. Amennyiben ez a módszer sikertelen volt, a tettesnek még arra is volt egy tartalék terve, hogy az áldozatok számláiról más bankszámlákra utaljon át pénzösszegeket.

2024. szeptember 13. 13:01

Hogyan védhetjük ki a gyakori Booking.com átveréseket?

A Booking.com a szálláshelyeket kereső utazók egyik legfontosabb platformja, de mára olyan szolgáltatások, mint az autóbérlés és a repülőjegy vásárlás is elérhetővé váltak az oldalon keresztül. Ez a világ leglátogatottabb utazási és turisztikai honlapja, amely 2023-ban több mint egymilliárd foglalást bonyolított le, ami kétszerese a 2016-ban regisztrált számnak. Az ESET kiberbiztonsági szakértői most megmutatják, hogyan vadásznak ránk a csalók az adathalász e-mailek küldésétől a hamis hirdetések közzétételéig, miközben a megérdemelt nyaralásunkat tervezzük – és ahhoz is tanácsokat kapunk, miként lehet védekezni ez ellen a csalásforma ellen.

2024. augusztus 7. 10:33

A kék halál képernyőn túl: miért ne hagyjuk figyelmen kívül a szoftverfrissítéseket?

A hibás CrowdStrike-frissítés okozta széleskörű informatikai leállások előtérbe helyezték a szoftverfrissítések kérdését. Frissítsünk vagy inkább ne? Az ESET kiberbiztonsági szakértői most elmondják, miért fontosak a hibajavítások, és miért nem jó megoldás, ha ezeket elmulasztjuk.

2024. július 26. 13:59

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01