Magasabb veszélyességi kategóriában a Sobig.e@MM
forrás Prim Online, 2003. június 26. 10:02
[smallimage 1 left] Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Sobig.e@MM féregvírust, a W32/Sobig.c@MM egy újabb változatát.
A vírus a szakértők új közleménye szerint azért "közepesen veszélyes", mert előfordulási gyakorisága az utóbbi órákban megnőtt. A W32/Sobig.e@MM vírust június 25-én fedezték fel, de már a korábbi, 4266-os DAT fájlok tartalmazzák a vírus új variánsának proaktív felismeréséhez szükséges információt.
Hasonlóan a Sobig.d variánshoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban, így megkerülve a kiterjesztésekre vonatkozó szabályokat. Ezért a felhasználónak további lépéseket kell tennie a vírus tényleges eltávolításáért. Továbbá egyes levelezőkliensek a kiterjesztést „ZI" ként is megjeleníthetik.
A féreg gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:
A vírus működésbe lépésekor feltérképezi a hálózatot, és az alábbi helyekre próbálja meg bemásolni magát:
Az alábbi fájlokat másolja a %windir% mappába (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS):
Létrehozza a következő Registry kulcsot, amely a legközelebbi rendszerindításkor lép életbe:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SSK Service" = %WinDir%\winssk32.exe
(ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS)
A W32/Sobig.e@MM vírust a 4266-es DAT fájl W32/Sobig.c@MM néven kezeli, de a teljes védelemhez ebben az esetben szükséges a 4.2.40+ scan engine és a tömörített állományok vizsgálatának engedélyezése is. A 4273-es DAT fájl W32/Sobig.e@MM néven ismeri fel a vírust bármelyik scan engine-nel.
További információ az AVERT javaslatairól és a kockázatfelmérésről
Hasonlóan a Sobig.d variánshoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban, így megkerülve a kiterjesztésekre vonatkozó szabályokat. Ezért a felhasználónak további lépéseket kell tennie a vírus tényleges eltávolításáért. Továbbá egyes levelezőkliensek a kiterjesztést „ZI" ként is megjeleníthetik.
A féreg gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:
Az e-mail szövege: „Please see the attached zip file for details"
Csatolt állomány: „your_details.zip", amely a details.pif fájlt tartalmazza.
Küldő: a vírus saját, tetszőleges feladót megjelölő e-mailt generál, ezért a látszólagos küldő valószínűleg nem a valódi forrás.
Csatolt állomány: „your_details.zip", amely a details.pif fájlt tartalmazza.
Küldő: a vírus saját, tetszőleges feladót megjelölő e-mailt generál, ezért a látszólagos küldő valószínűleg nem a valódi forrás.
A vírus működésbe lépésekor feltérképezi a hálózatot, és az alábbi helyekre próbálja meg bemásolni magát:
1. \Documents and Settings\All Users\Start Menu\Programs\Startup\
2. \Windows\All Users\Start Menu\Programs\Startup\
3. Installation
2. \Windows\All Users\Start Menu\Programs\Startup\
3. Installation
Az alábbi fájlokat másolja a %windir% mappába (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS):
1. "winssk32.exe" (~85kB, a vírus másolata)
2. "msrrf.dat" (konfigurációs fájl)
2. "msrrf.dat" (konfigurációs fájl)
Létrehozza a következő Registry kulcsot, amely a legközelebbi rendszerindításkor lép életbe:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SSK Service" = %WinDir%\winssk32.exe
(ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS)
A W32/Sobig.e@MM vírust a 4266-es DAT fájl W32/Sobig.c@MM néven kezeli, de a teljes védelemhez ebben az esetben szükséges a 4.2.40+ scan engine és a tömörített állományok vizsgálatának engedélyezése is. A 4273-es DAT fájl W32/Sobig.e@MM néven ismeri fel a vírust bármelyik scan engine-nel.
További információ az AVERT javaslatairól és a kockázatfelmérésről
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional