W32.Badtrans.B@mm: terjed az újabb windowsos e-mail féreg !
Az utóbbi napokban magam is számos olyan vírusgyanús e-mailt kaptam, melyek szöveget nem, csupán egy kettős kiterjesztéssel ellátott csatolt fájlt tartalmaztak. Mint utóbb kiderült, egy újabb virtuális kísértet járja be a világot, a W32.Badtrans.B@mm kísértete.
A nemrégiben detektált MAPI (Mail API) féreg e-mail üzenetek csatolt fájljaként terjed, mégpedig oly módon, hogy a levelezőprogramban található összes címre továbbítja magát. Amennyiben aktiváljuk, azaz megnyitjuk a csatolt fájlt, a program kernel32.exe néven bemásolja magát a Windowssystem könyvtárba, és a következő módosítást hajtja végre a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunOnceKernel32=kernel32.exe.Ezen túlmenően a féreg egy trójai alkalmazása egy naplófájlba rögzíti a billentyűzeten keresztül bevitt tartalmat, így elméletileg lehetőséget ad személyes adataink megszerzésére.
Az eddigi visszajelzések alapján a féreg a következő nevek egyikét adja a csatolt fájlnak:
- HUMOR
- DOCS
- S3MSONG
- ME_NUDE
- CARD
- SEARCHURL
- YOU_ARE_FAT!
- NEWS_DOC
- IMAGES
- PICS
Kiterjesztésként pedig a .doc, az .mp3, a .zip, valamint a .pif és .scr kitejesztések lehetséges kombinációinak egyike kerül a fájl neve után (pl. NEWS_DOC.MP3.SCR).
Javasolt tehát az ilyen csatolt állománnyal érkező üzenetek azonnali törlése, és esetleg az .scr és .pif kiterjesztésű csatolt állományokat tartalmazó üzenetek szűrése. Azok, akik már valamilyen oknál fogva megnyitották a fájlt, és így levelezőrendszerük megfertőződött, a férget detektáló legújabb vírusirtó szoftvereket futtassák (pl. Norton AntiVirus) és töröljék a fenti regisztrációs bejegyzést.