Veszélyes féregvírus terjed, amely beépített kémprogram lehetőségekkel rendelkezik és a begépelt jelszavakat is naplózza
[2F 2000] Újabb veszélyes féregvírus ütötte fel a fejét internet-szerte. A Tanatos/Bugbear néven ismert, Microsoft Outlook, Outlook Express levelezőprogramon keresztül terjedő kórokozó beépített trójai (kémprogram) lehetőségekkel rendelkezik, többek között a begépelt szöveget (így a jelszavakat is) naplózza.
A féreg mérete mindössze 50688 bájt, így könnyedén terjedhet levelek mellékleteként, véletlenszerű fájlneveket használva. Megtévesztés céljából több kiterjesztése is lehet a fertőzött fájlnak, így az igazi típus Windows alatt alapesetben el van rejtve. A levelek tárgysora és törzse (szövege) is változó, így ez nem nyújt igazi segítséget a szűréshez.
A víruskód a közismert I-Frame.exploit microsoftos böngészőhiba felhasználásával megpróbál automatikusan lefutni az Outlook/Outlook Express levelezőrendszerek betekintő ablakában. Ha a féreg bejutott a gépre, változó neveken (pl. JFMV.EXE) másolja be magát a Windows rendszerkönyvtárba és létrehozza a kódot rendszerindításkor lefuttató regisztrációs bejegyzést:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce]
Ugyancsak telepítésre kerül egy kémkomponens, amely a billentyűleütéseinket naplózza, ennek neve is változó (pl. ZLQPUPP.DLL). Két másik, a Tanatos által létrehozott DLL állomány funkciója még nem ismert közelebbről, ezekben kódolt adatok vannak. További két fájl (.DAT típusúak) a Windows gyökérkönyvtárába kerül.
A kártevő megpróbál vérfürdőt rendezni a gépünkre telepített biztonsági szoftverek között: ha megtalálja, letiltja azok működését a memóriában. Így ha víruskeresőnk adatállománya a fertőzési kísérlet pillanatában régi volt, és még nem ismerte a Tanatost, a gép megfertőződhet, és ezután az internetes féreg a víruskereső kikapcsolásával utat nyithat akár a régebbi kártevők bejutása előtt is. Ezért fontos, hogy mihamarabb adatbázist frissítsünk, és ezt a tevékenységet rendszeresen végezzük.
A trójai komponens a 36794-es TCP porton hallgatózik és lehetővé teszi, hogy távolról bejussanak gépünkre, majd azon keresztül a helyi hálózatra, amelyre kapcsolódik. A Tanatos internetes féreg ehhez egyszerűen kezelhető webes felületet kínál, ezért veszélyes fegyver lehet kevésbé képzett hackerek (script kiddie) kezében is.
A féregről további információ olvasható angol nyelven az F-Secure, valamint a Symantec honlapján.