Rekordgyorsasággal fertőz a Netsky.D

A vírusvédelemmel foglalkozó finn F-Secure cég a legmagasabb szintű riasztást adta ki egy új, rekordgyorsasággal terjedő emailféreg miatt. A Moodown vagy Somefool néven is ismert kártevő új, Netsky.D változata 2004. március 1-én délelőtt bukkant fel az interneten, írta a Vírushíradó.

Az új féreg, amely a korábban közepesen elterjedt Netsky kártevőcsalád csak levélben terjedő, de bonyolultabb felépítésű és veszélyes variánsa, emailekhez csatolt .zip vagy más kiterjesztésű fájlként terjed, és csak akkor aktivizálódik, ha a mellékletet kézzel lefuttatják. A féreg a megosztott mappákba is bemásolja magát.

A Netsky.D féreg sok tekintetben megegyezik az őt közvetlenül megelőző C változattal, azonban azzal ellentétben nem jelenít meg félrevezető hibüzenetet. Szakértők szerint az új változat jóval bonyolultabb szerkezetű a korábbi két NetSky-variánsnál. A féreg március 2-án, reggel 6 és 9 között a fertőzött gépeken eljátszik egy rövid dallamot.

Sokan kicsomagolják

A Netsky.C-vel fertőzött emailek tárgya igen változatos lehet (például "Delivery Failed", "Re: Document", "Excuse me", "Important"), ezeket a kártevő egy hosszú listából véletlenszerűen választja ki. A levél törzse és a csatolt fájl neve szokatlanul hosszú listákból kerül ki.

Elődeivel megegyező módon a Netsky.C szimpla vagy dupla kiterjesztést használ, a csatolt fájl első kiterjesztése .txt, .rtf, .doc vagy .htm lehet, míg a második tag a következő négyesből kerülhet ki: .exe, .scr, .com, .pif.

Amennyiben a csatolt fájl ezen felül még zippel is tömörítve van, a fertőzéshez a felhasználónak saját kezűleg kell kicsomagolnia, majd futtatnia a vírust, hogy az fertőzni tudjon. A Netsky.C gyors elterjedése azt jelzi, hogy ezt még mindig sok felhasználó megteszi, saját maga és mások kárára.

Címeket gyűjt

A Netsky.C féreg a korábbinál többféle fájlban kutat emailcímek után, átvizsgálja az .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, .wab fájlokat.

Az összegyűjtött címekre postázza a fertőzött üzeneteket, de nem küld emailt olyan címekre, melyek tartalmazzák az abuse, antivi, aspersky, avp, cafee, fbi, f-pro, f-secur, icrosoft, itdefender, orman, orton, spam, ymantec karaktersorozatok valamelyikét. A NetSky.C férget is detektáló vírusirtó-frissítések már megjelentek.

Blamázs

A vírus B változatával egyébként éppen a napokban gyűlt meg az F-Secure baja: a levelezőlistáján ugyanis - valószínűleg emberi mulasztásból - szétküldte brit ügyfeleinek és partnereinek a férget. A finn biztonsági cég ígéretet tett arra, hogy felülvizsgálják a listának küldött levelek feldolgozási rendjét, hogy a biztonsági blamázs ne ismétlődhessen meg, írta a The Register.

2002 novemberében az orosz Kasperky Labsnek volt része hasonló kellemetlenségben, amikor a levelezőlistáját ismeretlenek eltérítették. A támadás eredményeképpen a cég több ezer felhasználója kapta meg a Braid féregvírust.

Azonosítanák a feladót

A világ legnagyobb internetes cégei, a Microsoft, a Yahoo és az AOL az elektronikus levelezés átalakításával akarják megakadályozni a spamek és vírusok terjedését. A feladókat azonosító rendszerrel könnyebben megtalálható a nem várt levelek valódi forrása, és megfelelő szoftverekkel az azonosíthatatlan eredetű levelek is teljesen kiszűrhetők. Az új technológiák várhatóan idén megjelennek.