Fertőzött e-maileket küldhet szét PC-inkről az Opnis féreg legújabb variánsa
forrás Prim Online, 2006. október 20. 18:04
Trojan.Opnis.EM egy fertőzött email üzenettel érkezik a felhasználó levélfiókjába. Az üzenet minden esetben egy 11 kbájt hosszú, exepackerrel tömörített mellékletet hordoz - rendszerint egy adott listából generálódó megtévesztő névvel és félrevezető, kettős kiterjesztéssel. Maga a féreg egy Windows PE EXE típusú fájl, melyet a UPX segítségével tömörítettek össze.
Miután a gyanútlan felhasználó lefuttatja a programot, a féreg átmásolja magát egy 10 betűből álló, véletlenszerű névvel a Windows rendszer könyvtárába. A Windows rendszerleíró adatbázisában (Registry) pedig olyan bejegyzéseket hoz létre, amivel automatikusan lefuttathatja magát a rendszer minden egyes indításakor. Ezt követően a weben keresztül kapcsolatba lépni a http://www6.vedasetionkderun.com/ webhellyel és megpróbál erről a címről további kártékony állományokat letölteni. Emellett a helyi gépen fertőzhető email címek után kutat az összes elérhető merevlemezes meghajtón, végezetül, kapcsolódik a levelező szerverhez, és továbbküldi magát magát a megtalált címekre.
A levelek Tárgysora (Subject) egy listából véletlenszerűen generálódik, például:
"Good Day",
"Server Report",
"hello",
"picture",
"Status",
"test",
"Error",
"Mail Delivery System",
"Mail Transaction Failed".
Hasonlóképpen a melléklet állományok elnevezése is változó lehet, például:
"test.log.bat"
"readme.elm.exe"
"docs.txt.scr"
Jól látható, hogy a fájl minden esetben egy megtévesztő, a melléklet lefuttatását biztosító második fájlkiterjesztéssel is rendelkezik.
A levél törzsében az alábbi szövegek jelenhetnek meg:
"Mail transaction failed. Partial message is available"
"The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment"
"The message contains Unicode characters and has been sentas a binary attachment."
A féreg eltávolítása a VirusBuster antivírus termékeivel, a már futó folyamat leállításával, az állomány törlésével, valamint a regisztrációs bejegyzés törlésével lehetséges – javasolja Szappanos Gábor a VirusBuster víruslabor vezetője.
A Worm.Opnis.EM féreg eltávolításával kapcsolatos részletesebb információ a http://www.virusbuster.hu/hu/viruslabor/leirasok/opnis.em internetes oldalon olvasható.
Miután a gyanútlan felhasználó lefuttatja a programot, a féreg átmásolja magát egy 10 betűből álló, véletlenszerű névvel a Windows rendszer könyvtárába. A Windows rendszerleíró adatbázisában (Registry) pedig olyan bejegyzéseket hoz létre, amivel automatikusan lefuttathatja magát a rendszer minden egyes indításakor. Ezt követően a weben keresztül kapcsolatba lépni a http://www6.vedasetionkderun.com/ webhellyel és megpróbál erről a címről további kártékony állományokat letölteni. Emellett a helyi gépen fertőzhető email címek után kutat az összes elérhető merevlemezes meghajtón, végezetül, kapcsolódik a levelező szerverhez, és továbbküldi magát magát a megtalált címekre.
A levelek Tárgysora (Subject) egy listából véletlenszerűen generálódik, például:
"Good Day",
"Server Report",
"hello",
"picture",
"Status",
"test",
"Error",
"Mail Delivery System",
"Mail Transaction Failed".
Hasonlóképpen a melléklet állományok elnevezése is változó lehet, például:
"test.log.bat"
"readme.elm.exe"
"docs.txt.scr"
Jól látható, hogy a fájl minden esetben egy megtévesztő, a melléklet lefuttatását biztosító második fájlkiterjesztéssel is rendelkezik.
A levél törzsében az alábbi szövegek jelenhetnek meg:
"Mail transaction failed. Partial message is available"
"The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment"
"The message contains Unicode characters and has been sentas a binary attachment."
A féreg eltávolítása a VirusBuster antivírus termékeivel, a már futó folyamat leállításával, az állomány törlésével, valamint a regisztrációs bejegyzés törlésével lehetséges – javasolja Szappanos Gábor a VirusBuster víruslabor vezetője.
A Worm.Opnis.EM féreg eltávolításával kapcsolatos részletesebb információ a http://www.virusbuster.hu/hu/viruslabor/leirasok/opnis.em internetes oldalon olvasható.
Kapcsolódó cikkek
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
- Open- és StarOffice makróvírus minden platformra
- A Sicontact megkapta Ausztriát is
- Még nem fertőzött a PC-je? Kattintson ide, és az lesz...
- Új vállalati kémprogram-eltávolító
- Megjelent az AVG Internet Security Home változata
- Britney Spears már megint meztelenül
- Az internetre csatlakozott PC-k több mint fele vírusos
- Újabb nemzetközi minősítést kaptak a VirusBuster termékei