Szerző: Barna József

2002. október 4. 13:18

Feltartóztathatatlanul terjed a BugBear féregvírus

[ZDNet] Lekörözheti még a rettegett Klez féregvírust is a nemrég útjára indult BugBear kártevő -- hozta nyilvánosságra több víruskutatással foglalkozó biztonságtechnikai cég. A Symantec szerdán emelte a vírus veszélyességi szintjét 4-es fokozatra a lehetséges 5-ből.

[ZDNet] Lekörözheti még a rettegett Klez féregvírust is a nemrég útjára indult BugBear kártevő -- hozta nyilvánosságra több víruskutatással foglalkozó biztonságtechnikai cég. A Symantec szerdán emelte a vírus veszélyességi szintjét 4-es fokozatra a lehetséges 5-ből.

A Bugbear szinte pillanatok alatt a víruslisták élére küzdötte fel magát, mely szinte megállíthatatlan terjedési ütemet jelez. Az e-mailvírusok figyelésével és internetes biztonsággal foglalkozó MessageLabs több mint 21.000 példányt fogott el a vírusból a csütörtöki napon, mely összehasonlítva a Klez.H közel 6.000-es példányszámával irdatlanul magas érték. A cég szerint ez az adat tovább növekedhet.

A Bugbear ráadásul különösen kártékony: a megfertőzött gépen egy trójai programot telepít, mely megnyitja a felhasználó gépét, merevlemezét a kívülről érkező támadások előtt. A fertőzött gép DOS (denial-of-service) támadásokra is felhasználható.

A W32.Bugbear vagy I-Worm.Tanatos néven ismert vírus a Badtrans féreg egy módosított változata. A "trójai faló" installálása mellett kikapcsolja a víruskereső szoftvereket, tűzfalprogramokat és figyeli a leütött billentyűket, így a felhasználó által begépelt jelszavakat is. Továbbküldi magát a gépen található e-mail címekre, ráadásul ehhez saját e-mail motort használ. A vírus csak Windows operációs rendszert fenyeget.

A víruskód a közismert I-Frame.exploit microsoftos böngészőhiba felhasználásával megpróbál automatikusan lefutni az Outlook/Outlook Express levelezőrendszerek betekintő ablakában. Ha a féreg bejutott a gépre, változó neveken (pl. JFMV.EXE) másolja be magát a Windows rendszerkönyvtárba és létrehozza a kódot rendszerindításkor lefuttató regisztrációs bejegyzést:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce]

A trójai komponens a 36794-es TCP porton hallgatózik és lehetővé teszi, hogy távolról bejussanak gépünkre, majd azon keresztül a helyi hálózatra, amelyre kapcsolódik. A Tanatos internetes féreg ehhez egyszerűen kezelhető webes felületet kínál, ezért veszélyes fegyver lehet kevésbé képzett hackerek (script kiddie) kezében is.

A féregről további információ olvasható angol nyelven az F-Secure, valamint a Symantec honlapján.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról