Több mint száz variánssal támad a MYTOB féreg hazánkban is

2005. június 02.
1.6621
Figyelem! Ez a hír már több, mint egy éves! A benne lévő információk elavultak lehetnek!
Hírblock profilja, adatai
Hírblock
2005.
 

február 26-i felfedezése óta a MYTOB féregcsalád jóval több mint száz variánsát azonosította a Trend Micro globális vírusvédelmi kutató és támogató központja, a TrendLabs. A memóriarezidens féreg összetett támadást indít: kémprogramot és reklámokat telepít a fertőzött gépen, hátsó ajtókat nyit, és beépített IRC bottal rendelkezik. Mindehhez a "jól bevált", klasszikus, felhasználók hiszékenységére alapozó technikákat használja. A Trend Micro közepes szintű riasztást tart fent a MYTOB féreg legújabb variánsai miatt - a legutóbbi 2 változatot, WORM_MYTOB.BI-t és a WORM_MYTOB.AR -t számos országban, köztük hazánkban is észlelték.

Az elmúlt 2 hónapban - 2005. februári 26-i megjelenése óta - a MYTOB féreg több mint 100 variánsát azonosította a Trend Micro globális vírusvédelmi kutató és támogató központja, a TrendLabs. A Vírushiradó mai statisztikái alapján Magyarországon az elmúlt 7 napban a MYTOB-nak 39 féle variánsa bukkant fel és okozott károkat, összesen 588.037 fertőzést eredményezve a freemailes levelezőrendszerben. Ez az elmúlt 7 napban történt támadások közel 30%-át teszi ki, a teljes fertőzött állomány 2 millió emailt tartalmaz.

A MYTOB terjedési módja
A korábbi változatokhoz hasonlóan ez a memóriarezidens féreg is úgy terjed, hogy e-mail üzenetekben csatolt fájlként másolatokat küld önmagáról a címzetteknek saját SMTP (Simple Mail Transfer Protocol) motorján keresztül. Elindítása után a féreg letölt egy kémprogramot, amely reklámokat helyez el az áldozatok számítógépein. A féreg hátsó ajtók megnyitására is képes, és egy beépített Internet Relay Chat (IRC) bottal rendelkezik, ami lehetővé teszi számára, hogy csatlakozzon egy megadott IRC szerverre.

A terjedéshez felhasznált taktikák
A klasszikus - a felhasználók hiszékenységét kihasználó taktikákat alkalmazva a MYTOB az adott e-mail postafiókra vonatkozó fontos üzenetként tünteti fel magát - mintha az üzenetet egy rendszergazda küldené. A féreg számos különböző témájú és szövegtörzsű levélben érkezhet. Azt kéri, hogy a felhasználó reagáljon a levélre, ha el kívánja kerülni postafiókjának letiltását vagy megszüntetését.

A Trend Micro szakértőjének javaslata a védekezésre
"Nem ez az első alkalom, hogy ilyen, a felhasználói hiszékenységre alapozó taktikákat látunk a rosszindulatú kódok készítőitől, és már korábban is szerepeltek hírességek nevei a kártékony alkalmazásokban. Ugyanakkor a hátsó ajtó képességekkel együtt alkalmazott kémprogramok és reklámok egyre növekvő száma már aggasztóbb, mivel ezek az alkalmazások lehetővé teszik a támadó számára, hogy becsapják áldozatukat. A Trend Micro javasolja a rendszergazdáknak, hogy tiltsák le a nem feltétlenül szükséges fájlkiterjesztések használatát, például az .exe, .pif és .scr fájlokét, a végfelhasználóknak pedig azt, hogy ne nyissák meg a gyanús e-maileket és csatolt állományokat, valamint biztosítsák, hogy a vírusvédelmi mintafájlok mindig naprakészek legyenek." - nyilatkozta David Kopp, a TrendLabs EMEA vezetője.

A Trend Micro ügyfelei védettek e fenyegetés ellen a legutóbbi 2.653.00 számú mintafájl használata esetén. Az Outbreak Prevention Services ügyfelek az OPP 177 (vagy újabb) fertőzésmegelőzési házirend letöltésével védekezhetnek e fenyegetés terjedése ellen. A Damage Cleanup Services-t (Kárelhárítási Szolgáltatások) igénybe vevő ügyfelek a 622. számú sablonfájl letöltésével könnyíthetik meg az érintett rendszerek automatikus helyreállítását.

WORM_MYTOB.BI és WORM_MYTOB.AR
A féreg elindítás után egy fájlt helyez el a Windows rendszermappákban, amelynek elnevezésében gyakran egy híres belga színésznő, Lien Van de Kelder neve szerepel. A TSPY_AGENT.H néven azonosított kémprogram összetevő lehetővé teszi a támadó számára, hogy nyomon kövesse a mediatickets.net kémprogram-weboldalon végzett egérkattintásokat, így követhetők a fertőzési mutatók és a felhasználói preferenciák is.
nincs még hozzászólás

legutóbbi hozzászólások
 

Itt is rontjuk a levegőt

nurbanu profiljaWickedSick profiljaspitspaz profiljamarco profiljagery1113 profiljadrift3r91 profilja