Szerző: Barna József

2002. november 25. 21:40

Újabb veszélyes e-mailféreg ütötte fel a fejét

[2F 2000] Újabb veszélyes e-mailféreg ütötte fel a fejét internet-szerte. Az I-Worm.Winevar férget először Koreában észlelték. A vírus maga egy körülbelül 91 Kbyte hosszúságú PE EXE fájl, melyet Visual C++ nyelven írtak. A fertőzött üzenet az alábbiak szerint néz ki:

[2F 2000] Újabb veszélyes e-mailféreg ütötte fel a fejét internet-szerte. Az I-Worm.Winevar férget először Koreában észlelték. A vírus maga egy körülbelül 91 Kbyte hosszúságú PE EXE fájl, melyet Visual C++ nyelven írtak. A fertőzött üzenet az alábbiak szerint néz ki:
Tárgy:Re: AVAR(Association of Anti-Virus Asia Reseachers)

Levélszöveg:
   AVAR(Association of Anti-Virus Asia Reseachers) - Report.
   Invariably, Anti-Virus Program is very foolish.

Csatolt állomány:
  MUSIC_1.HTM
  MUSIC_2.CEO

A féreg a futtatás során egy jól ismert biztonsági rést (IFRAME Exploit) próbál meg kiaknázni. Aktiválás után véletlenszerű neveken (WIN[véletlenszám].EXE vagy WIN[véletlenszám].PIF) bemásolja magát a Windows System alkönyvtárba, és létrehoz egy olyan regisztrációs kulcsot, amely minden rendszerindításkor lefuttatja.

Ezen túlmenően létrehoz egy Funlove.4099 vírusvariánst is, amelyet WINxxxx.PIF néven néven szintén bemásol a Windows System alkönyvtárba. Míg azonban az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven keletkezik.

Ezt követően az alábbi üzenetet jeleníti meg:

  Make a fool of oneself
  What a foolish thing you have done!

A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelezőmappa-állományokban kutat címek után, és ezekre küldi tovább magát. A címek közül azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal kezdődnek.

A Winevar a futó processzek között vírusírtó, tűzfal és debugger programokat keres, és azok folyamatait is megpróbálja leállítani, valamint a hozzájuk tartozó állományokat letörölni. Néhány esetben ha antivírus programot talál, a féreg minden állományt töröl az összes meghajtóról. Azt pontosan nem tudni, hogy ezt szándékosan teszi, vagy ez csupán egy programhiba a víruskódban.

Az F-Secure és Kaspersky Anti-Virus, valamint a Symantec AntiVirus programok a 2002. november 25-i adatállományokkal már képesek detektálni.

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.

a címlapról

repairwashing

6

Keserű véget ért a Samsung-iFixit frigy

2024. május 24. 11:58

A független javítócég szerint a koreaiak rendkívül megnehezítették a könnyű javítást lehetővé tevő együttműködést.