Hazánkban is rohamosan terjed a Mytob féregcsalád

Hazánkban is rohamosan terjed a Mytob féregcsalád

2005. június 1. 15:26, Szerda
A memóriarezidens féreg összetett támadást indít: kémprogramot és reklámokat telepít a fertőzött gépen, hátsó ajtókat nyit és beépített IRC botja is van.

A Trend Micro közepes szintű riasztást tart fent a MYTOB féreg legújabb variánsai miatt - a legutóbbi 2 változatot, WORM_MYTOB.BI-t és a WORM_MYTOB.AR -t számos országban, köztük hazánkban is észlelték. Az elmúlt 2 hónapban - 2005. februári 26-i megjelenése óta - a MYTOB féreg több mint 100 variánsát azonosította a cég globális vírusvédelmi kutató és támogató központja. Magyarországon az elmúlt 7 napban a MYTOB-nak 39 féle variánsa bukkant fel és okozott károkat, összesen 588 037 fertőzést eredményezve a freemailes levelezőrendszerben. Ez az elmúlt 7 napban történt támadások közel 30%-át teszi ki, a teljes fertőzött állomány 2 millió e-mailt tartalmaz.

A korábbi változatokhoz hasonlóan ez a memóriarezidens féreg is úgy terjed, hogy e-mail üzenetekben csatolt fájlként másolatokat küld önmagáról a címzetteknek saját SMTP (Simple Mail Transfer Protocol) motorján keresztül. Elindítása után a féreg letölt egy kémprogramot, amely reklámokat helyez el az áldozatok számítógépein. A féreg hátsó ajtók megnyitására is képes, és egy beépített Internet Relay Chat (IRC) botot is tartalmaz, ami lehetővé teszi számára, hogy csatlakozzon egy megadott IRC szerverre.


A klasszikus - a felhasználók hiszékenységét kihasználó taktikákat alkalmazva a féreg az adott e-mail postafiókra vonatkozó fontos üzenetként tünteti fel magát - mintha az üzenetet egy rendszergazda küldené. A károkozó számos különböző témájú és szövegtörzsű levélben érkezhet. Azt kéri, hogy a felhasználó reagáljon a levélre, ha el kívánja kerülni postafiókjának letiltását vagy megszüntetését.

"Nem ez az első alkalom, hogy ilyen, a felhasználói hiszékenységre alapozó taktikákat látunk a rosszindulatú kódok készítőitől, és már korábban is szerepeltek hírességek nevei a kártékony alkalmazásokban. Ugyanakkor a hátsó ajtós képességekkel együtt alkalmazott kémprogramok és reklámok egyre növekvő száma már aggasztóbb, mivel ezek az alkalmazások lehetővé teszik a támadó számára, hogy becsapják áldozatukat. A rendszergazdák tiltsák le a nem feltétlenül szükséges fájlkiterjesztések használatát, például az .exe, .pif és .scr fájlokét, a végfelhasználóknak pedig azt javasoljuk, hogy ne nyissák meg a gyanús e-maileket és csatolt állományokat, valamint biztosítsák, hogy a vírusvédelmi mintafájlok mindig naprakészek legyenek" - nyilatkozta David Kopp, a TrendLabs vezetője.

A féreg elindítás után egy fájlt helyez el a Windows rendszermappákban, amelynek elnevezésében gyakran egy híres belga színésznő, Lien Van de Kelder neve szerepel. A TSPY_AGENT.H néven azonosított kémprogram összetevő lehetővé teszi a támadó számára, hogy nyomon kövesse a mediatickets.net kémprogram-weboldalon végzett egérkattintásokat, így követhetők a fertőzési mutatók és a felhasználói preferenciák is.

Kapcsolódó linkek

Listázás a fórumban 
Adatvédelmi beállítások