Biztonsági közleménynek álcázott e-mail féreg

[InfoWorld] Egy most felfedezett internetes féregprogram hamis Microsoft biztonsági közleményt használ álcaként a terjedésre. A világhálón már korábban felfedezett féregprogram módosított változata elsősorban az otthoni felhasználókat célozza.

A Symantec Antivirus Research Center (SARC - Symantec Antivírus Kutatóközpont) weboldalán található közlemény szerint a W32.Leave.B.Worm e-mail féreg annak a W32.Leave.Worm féregprogramnak egy variánsa, amelyet az FBI National Infrastructure Protection Centere (NIPC - Nemzeti Infrastruktúravédelmi Központ) fedezett fel néhány héttel ezelőtt.

Ami új a féregben, mondta Patrick Martin, a SARC fejlesztési menedzsere, az a hamis Microsoft biztonsági közlemény álca használata a terjedéshez, amelyre ezidáig nem volt példa. "Ez egy alattomos mód a felhasználók rendszerébe jutáshoz" - mondta Martin. "Mi még soha nem láttunk olyat, hogy egy hamis biztonsági közleménybe rejtettek volna vírust vagy féregprogramot."

A féregprogram olyan komponenseket tölt le bizonyos weboldalakról, amelyek segítségével chatprogramokon keresztül irányíthatóvá válik, közölte a Symantec. A Norton AntiVirus készítője a vállalati szegmens számára alacsony veszélyességi fokúnak itélte meg a vírust, mivel az elsősorban az otthoni felhasználókat célozza meg. "Ez a féregprogram a magánfelhasználókat célozza meg", akiket mindez bizonyára nem vígasztal.

A féregprogram írányíthatósága révén felhasználható DDoS (Distributed Denial of Service) támadások kivitelezéséhez is. A DDoS támadások során nagyszámú számítógépről óriási mennyiségű adattömeggel célba vesznek egy webszervert, amely a beérkező adatözönnel képtelen megbírkózni, és vagy összeomlik, vagy pedig annyira lelassul, hogy a külvilág, vagyis az internetezők számára elérhetetlenné válik.

A féreg a "Microsoft Security Bulletin MS01-037" témamegjelölésű e-mail formájában érkezik, és egy csatolt fájl rejti. A hamis biztonsági közlemény egy Windows gépeket fertőző veszélyes vírusról szól, amely ellen "szerencsére" itt a biztonsági folt. A biztonsági közlemény az "ezidáig soha nem látott komplexitású, rendkívül veszélyes" jelzőkkel megpróbálja megrémiszteni a felhasználókat.

A NIPC szerint a féregprogram csak azokat a gépeket fertőzi, amelyeket egy másik vírus, a SubSeven Trojan már előzőleg megfertőzött. A SubSeven Trojan lehetővé teszi a hackereknek, hogy átvegyék az irányítást a fertőzött gépek fölött. A féreg és a trójai együttműködnek a számítógép -többek között DDoS támadásokhoz való- felhasználása érdekében. A NIPC képviselője nem kívánta részletesebben kommentálni az ügynökség ezirányú közleményét.

Alan Paller, a nonprofit SANS Institute szervezet biztonsági és antivírus csoportjának kutatásai igazgatója elmondta, hogy a féreg célja nem rombolás, és nem is titkos adatok megszerzése. A behatolók célja az, hogy a kiszemelt számítógépeket egy pénzkeresési séma szerint bizonyos, a készítők számára pénzt hozó hirdetésekre irányítsa. "Ez egy új fajtája a bűnözésnek" - mondta Paller. "Szerintünk ez pénzügyi bűnözés." A féregprogramot június közepén kezdték elemezni a különféle antivírus központok. A W32.Leave.B.Worm az ismert vírusirtók legfrissebb változataival könnyedén eltávolítható.