:

Szerző: Bodnár Ádám

2001. szeptember 6. 11:56

Visszatért a Magistr vírus -- az új változat hálózaton és e-mailen keresztül is terjed

[email] Szeptember 3-án a veszélyes Magistr nevű vírus új változatára bukkantak. Számos bejelentés érkezett -- elsőként Spanyolországból -- a kártevő program fertőzéséről.

[email] Szeptember 3-án a veszélyes Magistr nevű vírus új változatára bukkantak. Számos bejelentés érkezett -- elsőként Spanyolországból -- a kártevő program fertőzéséről.

A Magistr.B az eredeti vírus kódjának nagymértékben átdolgozott algoritmusát használja, ezért az ismert antivirus programok az új vírusváltozatot még heurisztikus keresési eljárással sem ismerték fel.

Ezt a variációt különösen veszélyes mellékhatásai és a figyelemre méltóan átdolgozott, hálózatokon és e-mail-en keresztüli terjedési eljárása jellemzi leginkább.

A Magistr.B megsemmisíti az összes helyi és hálózati meghajtón található fájlt, elrontja a CMOS memóriában és a FLASH BIOS-ban tárolt adatokat. Az operációs rendszert betöltő WIN.COM-ot és NTLDR-t is felülírja oly módon, hogy bizonyos körülmények teljesülése mellett a számítógép következő indításakor a helyi és a hálózati meghajtókon tárolt összes adatot letörli. Miközben a vírus olyan fájlok után kutat, amiket megfertőzhet, megsemmisíti a .NTZ kiterjesztésűeket. Ha a Magistr.B a ZoneAlarm személyi tűzfal szoftvert aktívnak találja a memóriában, azt automatikusan kikapcsolja.

A továbbterjedés érdekében, hogy e-mail címekhez jusson, a Magistr.b átvizsgálja az Eudora, az Outlook Express, a Netscape Messenger, az InternetMail e-mail kliens adatbázisait és a Windows címjegyzékét. A vírus a .DOC és a .TXT fájl formátumokon kívül képes .GIF fájlokat is az üzenetekhez hozzákapcsolni.

A vírus széleskörű keresést végez a hozzáférhető hálózati erőforrások után, ahová megpróbálja másolatait szétszórni. A vírus a következő könyvtárakat keresi: "WINNT", "WINDOWS", "WIN95", "WIN98", "WINME", "WIN2000", "WIN2K" és "WINXP". Ezzel a módszerrel a vírus nagyon hatékonyabban tud terjedni, és figyelemre méltóan növeli a sikeresen megfertőzött számítógépek arányát.

A Magistr az úgynevezett "alvó" víruskategóriába tartozik, nem fedi fel magát addig, amíg nem aktivizálódik. Az eredeti Magistr az észlelést követően egy hónapon belül az első helyre került a vírusaktivitási listákon. Jelenleg is biztosan tartja elsőségét a leginkább elterjedt kártevő programok között, a SirCam internetes féreg csak a második. Kétségtelen, hogy a Magistr újabb változatának is megvan a lehetősége, hogy annyira elterjedt legyen, mint az eredeti, ez a változat is világméretű járványhoz vezethet.

A Kaspersky Labs eredményesen és hatásosan reagált erre az újonnan fellépett fenyegetésre. A szeptember 4-én éjfélkor (múlt éjjel) a Kaspersky Antivirushoz közzétett napi vírusadatbázis frissítés már felismeri a Magistr.B-t. Ennek előnyeit az F-Secure Corp. által gyártott, a Kaspersky Antivirus keresőmotorját is tartalmazó F-Secure Anti-Virus felhasználói is élvezhetik.

A Magistr vírusról bővebb leírás a Kaspersky Vírus Enciklopédiájában található.

a címlapról