ActiveX scriptel gyanútlan felhasználókat igenis meg lehet fertõzni virussal (feltéve ha IE-t használnak) a program megnyitása nélkül.. Csak egy oldalt kell meglátogatniuk ..
A Dumaru féregváltozatok terjedésérõl szóló szeptember elején megjelent cikkünkben felhívtuk ügyfeleink figyelmét a káros kódot hordozó levelek felismerésének lehetõségére. Sajnos az ott szereplõ három jótanács, javaslat közül már talán csak egy vagy kettõ állja meg a helyét, mivel:
Megjelent és szabadon terjed egy "szépen kidolgozott" féreg, amely I-worm.Swen nevet kapott az antivírus cégektõl. A kód elemzése alapján a vírusvédelmi kutatók úgy vélik, szerzõje ugyanaz a hacker lehet, aki a Gibe vírust is útjára indította. A két kártevõ közti idõben biztosan szépírástant tanult, ugyanis a grafikát, formázást és web-hivatkozásokat is tartalmazó, HTML formátumú elektronikus levélben érkezõ féreg körítése meglepõen emlékeztet a Microsoft weblapok szín- és formavilágára.
A levél kódja olyan exploit-ot tartalmaz, amelynek segítségével a férget tartalmazó, 106kB-os fájlmelléklet automatikusan lefuthat a sebezhetõ rendszereken. A Swen még IRC-n és a Kazaa fájlcserélõ hálózaton keresztül is képes terjedni.
A Swen férget tartalmazó levél szövege a következõ: Feladó: változó (MS Technical Assistance, Microsoft Internet Security Section, MS Services)
Tárgy: gyakran vagy minden esetben hiányzik
Melléklet: Q591362.exe (változó is lehet)
Levéltörzs: Microsoft Partner
this is the latest version of security update, the "September 2003, Cumulative Patch" update which eliminates all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three newly discovered vulnerabilities. Install now to continue keeping your computer secure. This update includes the functionality of all previously released patches.
System requirements Windows 95/98/Me/2000/NT/XP
This update applies to MS Internet Explorer, version 4.01 and later MS Outlook, version 8.00 and later MS Outlook Express, version 4.01 and later Recommendation: Customers should install the patch at the earliest opportunity. How to install: Run attached file. Choose Yes on displayed dialog box. How to use: You don't need to do anything after installing this item.
Microsoft Product Support Services and Knowledge Base articles can be found on the Microsoft Technical Support web site. For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site, or Contact Us.
Thank you for using Microsoft products.
Please do not reply to this message. It was sent from an unmonitored e-mail address and we are unable to respond to any replies. ----------------------------------------------- The names of the actual companies and products mentioned herein are the trademarks of their respective owners.
Contact Us | Legal | TRUSTe (c) 2003 Microsoft Corporation. All rights reserved. Terms of Use | Privacy Statement | Accessibility"
A számítógépet használóknak azt tanácsoljuk, hogy ne dõljenek be az egyébként igényes kivitelezû levélnek; tartsák szem elõtt, hogy a Windows-hoz készített valódi javítások, többek között a sokféle nyelvi változat létezése miatt is, kizárólag a gyártó saját webhelyérõl kiválasztva érhetõk el. Ha tehát levélben ajánlanak ilyesmit, gyanakodni kell!
Ha a Swen féreg lefut, elsõként a Windows mappájába másolja magát MLMHP.EXE-hez hasonló, véletlenszerûen változó néven és létrehozza a fájl automatikus futtatásához szükséges registry értéket: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "" = ".exe /autorun"
Ezután a féreg egy párbeszédablakot jelenít meg, amelyben a "biztonsági javítás" telepítésének engedélyezését kéri. Persze a Swen a felhasználó igen vagy nem válaszától függetlenül; akár rejtve, akár nyíltan, de feltepül a fertõzött gépre.
Ezek után létrehoz egy batch fájlt, amely a fertõzött gép nevét viseli és tartalma: @ECHO OFF IF NOT "%1"=="" féregfájlnév.exe %1
A féreg ezután a SWEN1.DAT fájlba kicsomagolja a saját kódjában tárolt, SMTP levelezõszerverek nevét tartalmazó listát.
A féreg a Windows Registry segítségével magához rendeli bizonyos fájltípusok végrehajtását (BAT, SCR, EXE, REG és PIF): [HKCU\exefile\shell\open\command] [HKCU\regfile\shell\open\command] [HKCU\scrfile\shell\open\command] [HKCU\piffile\shell\open\command] [HKCU\batfile\shell\open\command]
Ha ilyen fájlokat próbálnak futtatni egy fertõzött gépen, a féreg veszi át a vezérlést.
A Swen saját védelme érdekében letiltja a registry módosítására alkalmas felhasználói programok futását, stílszerûen egy registry kulcs beállításával: [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools" = dword:00000001
Ezért "registry-buheráló" futtatásakor csak egy hibaüzenet jelenik meg: "Memory access violation in module Kernel32 8962:43568691"
Egy további registry-ágban, a [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer] alatt a féreg információkat tárol az SMTP kiszolgálókra, a felhasználó e-mail címére, a mIRC liens mappájának helyére, a fertõzött exe és zip fájlok nevére, stb. vonatkozóan.
A továbbterjedés elõkészítéseként a Swen féreg beállíja az esetleg a gépen található Kazaa kliens megosztás szolgáltatását és több példányban a Kazaa-n keresztül felajánlott anyagok közé másolja magát. Az .exe vagy .zip kiterjesztésû fájlneveket az alábbi készletekbõl véletlenszerûen választva generálja:
A mIRC kliensben a Swen féreg a SCRIPT.INI állományt cseréli ki egy olyan parancsra, amely féregpéldányokat küld minden olyan csevegõcsatornába, amelyhez a fertõzött gép felhasználója csatlakozik.
Megjegyzés: A Microsoft által az Internet Explorer webböngészõhöz kiadott legújabb valódi javítás az MS03-032-es számot viseli és a letöltendõ fájlok a nyelv kiválasztása után innen érhetõ el:
http://www.microsoft.com/windows/ie/downloads/critical/822925/download.asp A javítás technikai részleteirõl -magyar nyelven- innen tájékozódhatnak:
Ezen javítás telepítését minden Internet-használónak ajánljuk, hiszen a hibák befoltozásával védelmet nyújthat az olyan OutLook Express és Internet Explorer programokat érintõ sebezhetõségék ellen, amelyeket a vírusírók gyakran felhasználnak a káros kód automatikus lefuttatására.
Vírushiradó hírlevélre itt lehet feliratkozni: Vírushiradó
Rendkívül jól kidolgozott vírus terjed a világhálón, mely windows rendszerfrissítésnek álcázza magát. Nekem napi egy jön belõle, még a szolgáltatók úgy látszik nem szûrik. A törzs rész grafikus, a microsoft honlapjára emlékeztetõ. A törzs rész így néz ki:
Microsoft Partner
this is the latest version of security update, the "September 2003, Cumulative Patch" update which resolves all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three newly discovered vulnerabilities. Install now to protect your computer from these vulnerabilities. This update includes the functionality of all previously released patches.
System requirements Windows 95/98/Me/2000/NT/XP This update applies to MS Internet Explorer, version 4.01 and later MS Outlook, version 8.00 and later MS Outlook Express, version 4.01 and later Recommendation Customers should install the patch at the earliest opportunity. How to install Run attached file. Choose Yes on displayed dialog box. How to use You don't need to do anything after installing this item.
Microsoft Product Support Services and Knowledge Base articles can be found on the Microsoft Technical Support web site. For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site, or Contact Us.
Thank you for using Microsoft products.
Please do not reply to this message. It was sent from an unmonitored e-mail address and we are unable to respond to any replies.
-------------------------------------------------------------------------------- The names of the actual companies and products mentioned herein are the trademarks of their respective owners.
A feladó, tárgy mind változó. Mivel a Microsoft SOHA nem küld e-mailben rendszerfrissítést, ezért törlése javallot.