W32.Badtrans.B@mm: terjed az újabb windowsos e-mail féreg !

Az utóbbi napokban magam is számos olyan vírusgyanús e-mailt kaptam, melyek szöveget nem, csupán egy kettős kiterjesztéssel ellátott csatolt fájlt tartalmaztak. Mint utóbb kiderült, egy újabb virtuális kísértet járja be a világot, a W32.Badtrans.B@mm kísértete.

A nemrégiben detektált MAPI (Mail API) féreg e-mail üzenetek csatolt fájljaként terjed, mégpedig oly módon, hogy a levelezőprogramban található összes címre továbbítja magát. Amennyiben aktiváljuk, azaz megnyitjuk a csatolt fájlt, a program kernel32.exe néven bemásolja magát a Windowssystem könyvtárba, és a következő módosítást hajtja végre a regisztrációs adatbázisban:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunOnceKernel32=kernel32.exe.

Ezen túlmenően a féreg egy trójai alkalmazása egy naplófájlba rögzíti a billentyűzeten keresztül bevitt tartalmat, így elméletileg lehetőséget ad személyes adataink megszerzésére.

Az eddigi visszajelzések alapján a féreg a következő nevek egyikét adja a csatolt fájlnak:

• HUMOR
• DOCS
• S3MSONG
• ME_NUDE
• CARD
• SEARCHURL
• YOU_ARE_FAT!
• NEWS_DOC
• IMAGES
• PICS

Kiterjesztésként pedig a .doc, az .mp3, a .zip, valamint a .pif és .scr kitejesztések lehetséges kombinációinak egyike kerül a fájl neve után (pl. NEWS_DOC.MP3.SCR).

Javasolt tehát az ilyen csatolt állománnyal érkező üzenetek azonnali törlése, és esetleg az .scr és .pif kiterjesztésű csatolt állományokat tartalmazó üzenetek szűrése. Azok, akik már valamilyen oknál fogva megnyitották a fájlt, és így levelezőrendszerük megfertőződött, a férget detektáló legújabb vírusirtó szoftvereket futtassák (pl. Norton AntiVirus) és töröljék a fenti regisztrációs bejegyzést.