:

Szerző: Ady Krisztián

2005. március 9. 09:38

Újabb férgek támadják az MSN Messenger felhasználókat

A Trend Micro az elővigyázatosság érdekében közepes szintű riasztást adott ki két új féreg kapcsán, amelyek a népszerű azonnali üzenetküldő platformon, az MSN Messenger szolgáltatáson keresztül terjednek. A WORM_KELVIR.B és a WORM_FATSO.A férgeket a csendes-óceáni térségben, az Egyesült Államokban és Európában is észlelték.

[HWSW] A Trend Micro az elővigyázatosság érdekében közepes szintű riasztást adott ki két új féreg kapcsán, amelyek a népszerű azonnali üzenetküldő platformon, az MSN Messenger szolgáltatáson keresztül terjednek. A WORM_KELVIR.B és a WORM_FATSO.A férgeket a csendes-óceáni térségben, az Egyesült Államokban és Európában is észlelték.

Hátsó ajtó

Bár ezek a férgek feltehetően nem állnak kapcsolatban egymással, mégis mindkettő azonnali üzeneteket küld a felhasználóknak olyan weboldalakra szóló hivatkozásokkal, ahonnan a felhasználók tudtuk nélkül letöltik magát a fő férget. A WORM_KELVIR.B esetében a futtatás után a féreg egy trójai programot tölt le, amely ezután hátsó ajtót nyithat az internet felé.

A WORM_KELVIR.B és a WORM_FATSO.A egyaránt memóriarezidens férgek, melyek másolataikat minden kapcsolatban lévő MSN Messenger partnernek elküldik. A kimenő azonnali üzenet egy hivatkozást tartalmaz, mely egy vagy több weboldalra mutat. Amikor a címzett rákattint a hivatkozásra, a féreg másolata a címzett rendszerébe kerül. A WORM_FATSO.A ráadáasul az eMule fájlmegosztó alkalmazáson keresztül is terjed.

Egymásnak is üzengetnek

A WORM_FATSO.A számos fájlt helyez el a fertőzött rendszereken, a fájlnevek a hírességek neveitől (Fat Elvis! Lol.pif, Jennifer Lopez.scr) az obszcén mondatokig (How a Blonde Eats a Banana.pif, Topless in Miniskirt!lol.pif) terjednek. Az egyik fájl egy személyes üzenetet tartalmaz "Larissának", a február közepén észlelt WORM_ASSIRAL.A írójának, mely leállítja az ez év elején megjelent BROPIA (egy MSN Messenger alapú féreg) variánsainak működését.

A WORM_ASSIRAL.A e-mail csatolmányként érkezik és a következő üzenet jelenik meg a fertőzött számítógépeken: "Larissa – Anti-Bropia – Freeing the world of Bropia" (Larissa - Bropia-védelem - A világ megszabadítása a Bropiától).

A FATSO féreg válassza Larissának az alábbi: "Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you! '-S-K-Y-'-D-E-V-I-L-'

"Komikusnak hangzik, de ezek a szomszédjukkal viaskodó bandatagokhoz hasonló vírusírók rosszindulatú teremtményeiket használják közvetítő eszközként egymás sértegetéséhez" -- magyarázta Jamz Yaneza, a TrendLabs vezető víruskutatója. "A igazi vesztes ebben a játékban a végfelhasználó, aki nincs tudatában annak, hogy a számítógépe megfertőződött, vagy hogy hátsó ajtó nyílt a hálózatra".

Fontos a folyamatos frissítés

A WORM_BROPIA.F egy körülbelül 46 KB méretű, a WORM_FATSO.A pedig egy körülbelül 17 KB méretű fájlban érkezik, az utóbbi időnként MEW formátumba tömörítve. Mindkét féreg Windows 95, 98, ME, NT, 2000 és XP platformokon fut. A Trend Micro ügyfelei védettek e fenyegetés ellen a 2.476.00 számú (vagy újabb) mintafájl használata esetén. Az Outbreak Prevention Services ügyfelek az OPP 154 (vagy újabb) fertőzésmegelőzési házirend letöltésével védekezhetnek e fenyegetés terjedése ellen. A Damage Cleanup Services (kárelhárítási szolgáltatások) ügyfelek az 551. számú sablonfájl letöltésével könnyíthetik meg az érintett rendszerek automatikus helyreállítását.

A Network VirusWall szoftvert használó ügyfelek az Active Update szervereken keresztül elérhető 10189. verziószámú frissítés által védettek.

a címlapról