Új féreg terjed e-mailben

Biztonsági szakértők szerint egy új vírus tombol az interneten, amely a "Netsky D" névre hallgat, és e-mailben terjed. A csatolmány megnyitásával lelassítja a számítógépet, és szinte megbénítja az e-mailforgalmat.

A férget különösen nehéz azonosítani, ugyanis a postafiókba érkezéskor rengeteg féle tárgy közül variál, például "re:details" vagy "re:here is the document". Természetesen a magyar felhasználóknak egy picit könnyebb dolguk van, mivel feltűnőbb, ha angol nyelvű e-mail érkezik.

"Egy csatolt PIF (Program Information File) fájlként érkezik, és már jelenleg is széles körben elterjedt" - mondta el Graham Cluley a Sophos szóvivpője. Szerinte az új féreg nem lesz akkora csapás, mint a meglehetősen széles körben elterjedt MyDoom féreg, mely az SCO és a Microsoft weboldalait vette célba. Viszont közlése szerint a teljes veszélyességére később derül majd fény. "Úgy gondoljuk, hogy a felhasználók nem igazán ismerik fel a PIF fájlok veszélyességét, mert nem hallottak róla, hogy ártalmas programkódot is tartalmazhat. Természetesen a legjobb amit tehetnek, hogy megnyitás nélkül törlik" - tette hozzá Cluley.

A Sophos antivírus, és antispam programokat író cég szerint a mostani elődje, a Netsky-B egyébként a harmadik legártalmasabb vírus besorolását kapta februárban, követve a MyDoom-A, és a Sober-C variánsokat. A memória-rezidens féreg saját SMTP-magot használ az e-mail üzeneteken keresztül történő terjedéshez.

Az üzenet jellemzői:

Tárgy: (a következők bármelyike)
Re: Approved; Re: Details; Re: Document;Re: Excel file; Re: Hello; Re: Here; Re: Here is the document; Re: Hi; Re: My details; Re: Re: Document; Re: Re: Message; Re: Re: Re: Your document; Re: Re: Thanks!; Re: Thanks!; Re: Word file; Re: Your archive; Re: Your bill; Re: Your details; Re: Your document; Re: Your letter; Re: Your music; Re: Your picture; Re: Your product; Re: Your software; Re: Your text; Re: Your website.

Üzenet szövege: (a következők bármelyike)
Your file is attached., Please read the attached file., Please have a look at the attached file., See the attached file for details., Here is the file., Your document is attached.
Csatolt fájl (a következők bármelyike): all_document.pif; application.pif; document.pif; document_4351.pif; document_excel.pif; document_full.pif; document_word.pif; message_details.pif; message_part2.pif; mp3music.pif; my_details.pif; your_archive.pif; your_bill.pif; your_details.pif; your_document.pif; your_file.pif; your_letter.pif; your_picture.pif; your_product.pif; your_text.pif; your_website.pif; yours.pif.

A féreg WINLOGON.EXE fájlnéven elhelyezi saját másolatát a Windows mappában, majd hozzálát az e-mail címek összegyűjtéséhez a C-től a Z-meghajtóig (kivéve a CD-ROM meghajtót). (Nem árt tudni: a Windows NT, 2000 és XP rendszereken a Windows System mappában mindig szerepel a rendszer működéséhez szükséges WINLOGON.EXE alkalmazás.)

A féreg csatlakozik egy helyi vagy több külső DNS szerverhez, amelyeket SMTP-szerverként használ olyan levélforgalmazók kereséséhez, amely a yahoo.com domainen belül található. Ez a rosszindulatú kód egy Petite tömörítésű futtatható fájlban érkezik, és a magas szintű Microsoft Visual C++ programozási nyelven íródott. Windows 95, 98, ME, NT, 2000 és XP operációs rendszereken fut.