Ön a vírushordozó?

Az először május elején megjelent Worm.Opnis család újabb variánsa, a Worm.Opnis.EM e-mail üzenetek tömörített mellékleteként terjed és két fájlkiterjesztéssel próbálja megtéveszteni a gyanútlan felhasználót. Futtatását követően a féreg további kártékony programokat próbál meg letölteni egy előre meghatározott webhelyről. Ennyivel azonban nem éri be, ugyanis a már fertőzött gépen további e-mail címek után kutat és ezekre továbbküldi magát. Az elmúlt 24 óra alatt mintegy 30 különböző, de romboló hatásukat tekintve egymáshoz hasonló variánst azonosítottak - adta tudtul sajtóközleményében a VirusBuster.

2006. október 22.

Piac&Profit

Trojan.Opnis.EM egy fertőzött email üzenettel érkezik a felhasználó levélfiókjába. Az üzenet minden esetben egy 11 kbájt hosszú, exepackerrel tömörített mellékletet hordoz - rendszerint egy adott listából generálódó megtévesztő névvel és félrevezető, kettős kiterjesztéssel. Maga a féreg egy Windows PE EXE típusú fájl, melyet a UPX segítségével tömörítettek össze.

Miután a gyanútlan felhasználó lefuttatja a programot, a féreg átmásolja magát egy 10 betűből álló, véletlenszerű névvel a Windows rendszer könyvtárába. A Windows rendszerleíró adatbázisában (Registry) pedig olyan bejegyzéseket hoz létre, amivel automatikusan lefuttathatja magát a rendszer minden egyes indításakor. Ezt követően a weben keresztül kapcsolatba lépni a http://www6.vedasetionkderun.com/ webhellyel és megpróbál erről a címről további kártékony állományokat letölteni. Emellett a helyi gépen fertőzhető email címek után kutat az összes elérhető merevlemezes meghajtón, végezetül, kapcsolódik a levelező szerverhez, és továbbküldi magát magát a megtalált címekre.

A levelek Tárgysora (Subject) egy listából véletlenszerűen generálódik, például:

"Good Day"
"Server Report"
"hello"
"picture"
"Status"
"test"
"Error"
"Mail Delivery System"
"Mail Transaction Failed"

Hasonlóképpen a melléklet állományok elnevezése is változó lehet, például:

"test.log.bat"
"readme.elm.exe
"docs.txt.scr"

Jól látható, hogy a fájl minden esetben egy megtévesztő, a melléklet lefuttatását biztosító második fájlkiterjesztéssel is rendelkezik.

A levél törzsében az alábbi szövegek jelenhetnek meg:

"Mail transaction failed. Partial message is available"
"The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment"
"The message contains Unicode characters and has been sentas a binary attachment."

A féreg eltávolítása a VirusBuster antivírus termékeivel, a már futó folyamat leállításával, az állomány törlésével, valamint a regisztrációs bejegyzés törlésével lehetséges - javasolja Szappanos Gábor, a víruslabor vezetője.

További információ ezen a linken.

Véleményvezér