Szerző: Bodnár Ádám

2004. március 23. 12:09

Britney Spearstől vagy Eminemtől érkezik a Netsky.P féregvírus

[Morpho] Március 22-én, hétfőn a Trend Micro TrendLabs közepes szintű riasztást adott ki a Netsky.P variánsáról. A Trend Micro eddig Európából és az Egyesült Államokból kapott jelentéseket erről a variánsról. A féreg a következő eleme a már jól ismert vírusháborúnak, amely a Netsky és a Bagle készítői között folyik.

[Morpho] Március 22-én, hétfőn a Trend Micro TrendLabs közepes szintű riasztást adott ki a Netsky.P variánsáról. A Trend Micro eddig Európából és az Egyesült Államokból kapott jelentéseket erről a variánsról. A féreg a következő eleme a már jól ismert vírusháborúnak, amely a Netsky és a Bagle készítői között folyik.

A Bagle.Q variánshoz hasonlóan a Netsky.P is egy Internet Explorer biztonsági rést használ ki. A féreg Britney Spears, Eminem és más híres emberek nevét használja az elküldött fájlokban, az üzenet szövege pedig az egyes vírusvédelmi cégek által küldött jelentésekre emlékeztet, amelyekben értesítik a felhasználót, hogy nem találtak vírust.

Amikor a Netsky.P megfertőzött egy számítógépet, bizonyos bejegyzéseket hoz létre a rendszerleíró adatbázisban, így a Windows indításakor futtatja magát, illetve további rendszerleíró adatbázis bejegyzésekkel szolgáltatásként regisztrálja magát. A féreg különböző kulcsokat töröl a rendszerleíró adatbázisból, ha azok léteznek.

A Netsky.P különböző technikákat használ fel a terjedéshez. E-mailen keresztül a saját SMTP rutinjának segítségével terjed, az általa küldött e-mail különböző tárgysorokat, szöveget és különböző nevű csatolt fájlokat tartalmaz. Az e-mail címeket bizonyos kiterjesztésű fájlokból gyűjti. A hálózati megosztásokon is képes terjedni, mivel másolatait a fertőzött rendszer megosztott mappáiba helyezi.

Ez az első Netsky variáns, amely az Internet Explorer egy ismert hibáját -- jelen esetben az érvénytelen MIME fejléc okozta sérülékeny pontot -- használja ki a rosszindulatú kód futtatásához. A nemrégiben megjelent és múlt héten a hírekben előkelő helyen szereplő Bagle.Q variáns is hasonló technikát használt.

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.

a címlapról