W32/Bagle.j@MM: közepesen veszélyes a vírus újabb variánsa
Több, részben valós összetevőből generálja az email szövegét az új változat
A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 2745-ös port-on keresztül vár utasításokat. A vírus megpróbálja felvenni a kapcsolatot írójával, egy php kód lehívásának segítségével:
http://postertog.de/scr.php
http://www.gfotxt.net/scr.php
http://www.maiklibis.de/scr.php
A vírus IRUN4.EXE néven, ezúttal egy szöveges fájl ikont használva másolja magát a Windows rendszerkönyvtárba, például:
· C:\WINNT\SYSTEM32\ IRUN4.EXE (21318 bájt)
Az indításkor a vírus az alábbi kulcs segítségével tölti be magát:
· HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "ssate.exe" = C:\WINNT\SYSTEM32\irun4.exe
A fertőzött email további ismertetőjegyei:
Feladó: (Hamis cím)
Tárgy:
· E-mail account security warning.
· Notify about using the e-mail account.
· Warning about your e-mail account.
· Important notify about your e-mail account.
· Email account utilization warning.
· Notify about your e-mail account utilization.
· E-mail account disabling warning.
Szöveg: A szövegtest ebben a verzióban több összetevőből épül fel, hogy a lehető leghivatalosabbnak tűnjön
Üdvözlés:
· Dear user of (a felhasználó tartománya) ,
· Dear user of (a felhasználó tartománya) gateway e-mail server,
· Dear user of e-mail server "(a felhasználó tartománya) ",
· Hello user of (a felhasználó tartománya) e-mail server,
· Dear user of "(a felhasználó tartománya) " mailing system,
· Dear user, the management of (a felhasználó tartománya) mailing system wants to let you know that,
Ahol a felhasználó tartománya a címzett mezőből származik. Például: a felhasználó tartománya a user@mail.com esetben a "mail.com"
Szövegtest:
· Your e-mail account has been temporary disabled because of unauthorized access.
· Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free
auto-forwarding service.
· Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
· We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
· Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
· Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
A csatolt állomány magyarázata:
· For more information see the attached file.
· Further details can be obtained from attached file.
· Advanced details can be found in attached file.
· For details see the attach.
· For details see the attached file.
· For further details see the attach.
· Please, read the attach for further details.
· Pay attention on attached file.
Jelszóinformáció - (ha ZIP fájl)
· For security reasons attached file is password protected. The password is "(öt véletlenszerű szám) ".
· For security purposes the attached file is password protected. Password is "(öt véletlenszerű szám) ".
· Attached file protected with the password for security reasons. Password is (öt véletlenszerű szám) .
· In order to read the attach you have to use the following password: (öt véletlenszerű szám).
Lezárás:
· The Management,
· Sincerely,
· Best wishes,
· Have a good day,
· Cheers,
· Kind regards,
A (a felhasználó tartománya) team. http://www.(a felhasználó tartománya)
Az első, opcionális rész a listából származik, a második állandó.
Csatolt állomány: lehetséges egy jelszóvédelemmel ellátott ZIP fájl, de a kiterjesztés lehet EXE, vagy PIF is.
· Attach
· Information
· Readme
· Document
· Info
· TextDocument
· TextFile
· MoreInfo
· Message
A W32/Bagle.j@MM vírust március 2-án fedezték fel, az aznap kiadott 4332-es DAT fájl már tartalmazza a vírus felismeréséhez szükséges információkat. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://www.networkassociates.com/us/downloads/updates/dat.asp
További információ a W32/Bagle.j@MM féregvírusról a http://vil.nai.com/vil/content/v_101071.htm
Az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp
Kapcsolódó cikkek
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- 2005 első negyedév: adathalászat, mobilvírusok, és trójaiak
- McAfee: Új, központilag irányított és ellenőrzött védelem spam-ek és vírusok ellen
- Új McAfee WebShield Appliance tartalommenedzsment megoldás
- Cisco NAC támogatás a Network Associates vírusirtó termékeiben
- A McAfee Security új behatolás-megelőző megoldása
- Network Associates-Check Point: integrált biztonsági megoldás kisvállalkozások számára
- W32/Netsky.s@MM: a legújabb változat is közepesen veszélyes
- Számítógép-vírusok - 22 milliárd dolláros kár a nyugat-európai kiscégeknél
- McAfee AVERT vírus körkép és a legfrissebb TOP 10 lista
Biztonságtechnika ROVAT TOVÁBBI HÍREI
NFC adatokat továbbító Androidos kártevőt fedezett fel az ESET kutatócsoportja
Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba. Az ESET által NGate-nek elnevezett Android alapú kártékony szoftver újszerű módon képes az áldozatok bankkártyáinak adatait a támadók telefonjára továbbítani. A támadók elsődleges célja az volt, hogy ATM-eken keresztül készpénzt vegyenek fel az áldozatok bankszámláiról. Ezt úgy érték el, hogy a fizikai bankkártyák NFC-adatait a támadó készülékére továbbították az NGate malware segítségével. Amennyiben ez a módszer sikertelen volt, a tettesnek még arra is volt egy tartalék terve, hogy az áldozatok számláiról más bankszámlákra utaljon át pénzösszegeket.
Hogyan védhetjük ki a gyakori Booking.com átveréseket?
A Booking.com a szálláshelyeket kereső utazók egyik legfontosabb platformja, de mára olyan szolgáltatások, mint az autóbérlés és a repülőjegy vásárlás is elérhetővé váltak az oldalon keresztül. Ez a világ leglátogatottabb utazási és turisztikai honlapja, amely 2023-ban több mint egymilliárd foglalást bonyolított le, ami kétszerese a 2016-ban regisztrált számnak. Az ESET kiberbiztonsági szakértői most megmutatják, hogyan vadásznak ránk a csalók az adathalász e-mailek küldésétől a hamis hirdetések közzétételéig, miközben a megérdemelt nyaralásunkat tervezzük – és ahhoz is tanácsokat kapunk, miként lehet védekezni ez ellen a csalásforma ellen.
A kék halál képernyőn túl: miért ne hagyjuk figyelmen kívül a szoftverfrissítéseket?
A hibás CrowdStrike-frissítés okozta széleskörű informatikai leállások előtérbe helyezték a szoftverfrissítések kérdését. Frissítsünk vagy inkább ne? Az ESET kiberbiztonsági szakértői most elmondják, miért fontosak a hibajavítások, és miért nem jó megoldás, ha ezeket elmulasztjuk.
ESET kiberfenyegetettségi jelentés: egyre gyakoribb a mesterséges intelligencia és a deepfake a támadásokban
Az ESET legújabb Threat Report jelentése átfogó képet ad az ESET szakértői csapata által 2023 decemberétől 2024 májusáig megfigyelt fenyegetettségi trendekről.
A kiberbűnözők piszkos játéka: 9+1 kibertámadás a sport világából
Ikonikus sporteseményekből – mint például az olimpia vagy a foci bajnokságok – idén nyáron sem lesz hiány. A szurkolók alig várják ezeket az eseményeket – nincsenek ezzel másként a kiberbűnözők sem, bár őket a versenyszellem vagy a közösség érzése a legkevésbé sem érdekli. A Foci EB és a 2024-es párizsi olimpiai játékok közeledtével az ESET biztonsági szakértői mutatnak 9+1 olyan esetet, amelyekben a kibertámadások áldozatai sportegyesületek, -események vagy a szurkolók voltak.