Magasabb AVERT veszélyességi kategóriában a Sobig.e@MM féregvariáns

Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Sobig.e@MM féregvírust, a W32/Sobig.c@MM egy újabb változatát. A vírus a szakértők új közleménye szerint azért "közepesen veszélyes", mert előfordulási gyakorisága az utóbbi órákban megnőtt. A W32/Sobig.e@MM vírust június 25-én fedezték fel, de már a korábbi, 4266-os DAT fájlok tartalmazzák a vírus új variánsának proaktív felismeréséhez szükséges információt.

Hasonlóan a Sobig.d variánshoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban, így megkerülve a kiterjesztésekre vonatkozó szabályokat. Ezért a felhasználónak további lépéseket kell tennie a vírus tényleges eltávolításáért. Továbbá egyes levelezőkliensek a kiterjesztést "ZI" ként is megjeleníthetik.

A féreg gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:

Az e-mail szövege: "Please see the attached zip file for details"

Csatolt állomány: "your_details.zip", amely a details.pif fájlt tartalmazza.

Küldő: a vírus saját, tetszőleges feladót megjelölő e-mailt generál, ezért a látszólagos küldő valószínűleg nem a valódi forrás.

A vírus működésbelépésekor feltérképezi a hálózatot, és az alábbi helyekre próbálja meg bemásolni magát:

1. \Documents and Settings\All Users\Start Menu\Programs\Startup\
2. \Windows\All Users\Start Menu\Programs\Startup\
3. Installation

Az alábbi fájlokat másolja a %windir% mappába (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS):

1. "winssk32.exe" (~85kB, a vírus másolata)
2. "msrrf.dat" (konfigurációs fájl)

Létrehozza a következő Registry kulcsot, amely a legközelebbi rendszerindításkor lép életbe:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SSK Service" = %WinDir%\winssk32.exe

(ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS)

A W32/Sobig.e@MM vírust a 4266-es DAT fájl W32/Sobig.c@MM néven kezeli, de a teljes védelemhez ebben az esetben szükséges a 4.2.40+ scan engine és a tömörített állományok vizsgálatának engedélyezése is. A 4273-es DAT fájl W32/Sobig.e@MM néven ismeri fel a vírust bármelyik scan engine-nel.

Kapcsolódó cikkek

• Megjelent a McAfee Desktop Firewall 8.0 (2003. június 25.)
• Bugbear.b vírus: most már "magas" a veszélyesség (2003. június 6.)
• A Network Associates biztonsági alkalmazásokat fejlesztett a Microsoft Exchange Server 2003-as verziójához (2003. június 5.)
• Magasabb veszélyességi kategóriában a Sobig.c@MM féreg (2003. június 2.)
• Megjelent a McAfee Security ePolicy Orchestrator 3.0-ás verziója (2003. május 20.)

Kapcsolódó linkek

• Network Associates