|
Jakiś czas temu lotem błyskawicy świat obiegła informacja o luce w mechanizmach renderujących pliki WMF w systemie Windows. W środowisku specjalistów ds. bezpieczeństwa zawrzało.
Ale inżynierowie ze znanej firmy antywirusowej F-Secure ostrzegają, że będzie gorzej!
Prawdziwym zagrożeniem jest klasyczny, prymitywny robak napisany w Visual Basicu. Nyxem.E, bo tak nazywa się owo ustrojstwo, został odkryty 20 stycznia 2006 roku. Zasada działania jest prosta. Robak rozprzestrzenia się za pośrednictwem emaila. Kuszącym tematem listu - "Arab sex DSC-00465.jpg," "Miss Lebanon 2006," lub "School girl fantasies gone bad." zachęca użytkownika do otwarcia wykonywalnego załącznika. Kiedy to nastąpi sprawdza, czy w systemie są zainstalowane popularne programy antywirusowe i deaktywuje je. Następnie dodaje wpis do rejestru w sekcji Software\Microsoft\Windows\CurrentVersion\Run, dzięki czemu uruchamia się przy każdym starcie systemu, jednocześnie skanując pliki w poszukiwaniu adresów email do których mógłby się rozesłać. Destrukcyjne działanie ujawnia się trzeciego dnia każdego miesiąca, a pierwszy raz będzie miało to miejsce 3 lutego 2006. Robak kasuje wtedy wszystkie pliki Worda, Exclea, Accessa, PowerPointa, Photoshopa, Acrobata i paru innych typów, w tym archiwa ZIP i podmienia ich zawartość tekstem "DATA Error [47 0F 94 93 F4 K5].". Inną ciekawą cechą robaka jest to, że kiedy się uruchamia otwiera przeglądarkę internetową z określonym adresem strony. Prawdopodobnie w ten sposób jego autor śledzi liczbę infekcji, a tę F-Secure szacuje dotychczas na ponad 500.000! Nyxem.E generuje obecnie ok. 35% całkowitego ruchu sklasyfikowanego jako wirusy/robaki/etc. W czasach, kiedy autorzy wirusów sięgają po coraz bardziej wyrafinowane rozwiązania, pierwszą masową infekcję w 2006 roku zawdzięczamy banalnemu programowi napisanemu w Visual Basicu. Strzeżcie się więc! Źródło: osnews.com|
Dodane przez mortar w dniu - 2006-01-23 21:54:49
Prawde mowiac ja to chyba antywira mam tak na wszelki wypadek, jeszczem i sie nie zdarzylo zalapac wira. No ale ja z definicji nie otwieram zalacznikow od nieznajomych ;D | Dodane przez Smoq_1990 w dniu - 2006-01-23 22:04:04
Widac VB nie jest taki zly jak o nim mowia programisci C++ :P Idzie zrobic w VB zamieszaniew sieci  "Strze?cie si? wi?c" Niop... Trzeba jakos sie zabezpieczyc... Najlepiej nie otwierac zalacznikow!! | Dodane przez mortar w dniu - 2006-01-23 22:08:12
Visual Basicowe skrypty obecne w wiekszosci microsoftowych aplikacji daja wiele dobrego, ale tez i wiele zlego. Ten robak pokazuje jak mozna te mechanizmy wykorzystac przeciw uzytkownikom.
Ale latwo sie przed tym bronic Trzeba tylko pamietac ze: nikt mailem nie rozsyla bezinteresowanie zdjec porno (no, chyba ze kumple z pracy  ) | Dodane przez marcin_an w dniu - 2006-01-24 00:32:19
(...) i przy braku MSVBVM60.DLL si? wywala? | hehehe ;)
Dodane przez mortar w dniu - 2006-01-24 07:55:32
Dobre, dobre. Sam jestem ciekaw, czy takie ustrojstwa potrzebuja dll'elek | Dodane przez brtcoder w dniu - 2006-01-24 16:56:31
Mo?e jakiś programik sprawdzający czy to świ?stwo jest w systemie - skoro atakuje 3-go to znaczy czas jest ?eby to spawdzi?, chyba wystarczy?oby sprawdzi? klucz Run
Sam program mo?naby podczepi? pod ten klucz ?eby sprawdza? automatycznie po uruchomieniu czy robaka tam nie ma ... | Dodane przez mortar w dniu - 2006-01-24 17:08:15
Sadze, ze na stronie F-Secure na pewno bedzie sporo wiecej informacji o tym robalu i o tym jak on dziala. Mozna je wykorzystac piszac taki programik | Dodane przez brtcoder w dniu - 2006-01-24 19:36:08
Poczyta?em na stronie F-Secure, fajny ten robaczek, interesujący :]
User ma ca?e 30 min ?eby coś z nim zrobi? jeśli si? zorientuje ?e go sobie ściągną?
lol 
pozdrawiam
BRT | Dodane przez mortar w dniu - 2006-01-24 19:40:25
Eee, ale z opisu wynika, ze on psuje tylko w 3 dzien miesiaca, poza tym ponoc nie grozny. Wiec nie wiem o co biega z tymi 30 minutami | Dodane przez brtcoder w dniu - 2006-01-24 19:45:31
on naprawde ?aduje si? - tzn. ta funkcja destrukcyjna, po 30 minutach od zainfekowania systemu - wynika z opisu na stronie F-secure'a, poza tym hijackuje strony w przeglądarce wi?c go pewno szybko wykoszą, mimo tego ?e potencjalnie jest gro?ny dla dokumentów a wi?c w wielu biurach mo?e troche pracy dla informatyków z odzyskiwaniem dokumentów by? :] | Dodane przez brtcoder w dniu - 2006-01-24 19:46:37
atakuje tylko 3-go ka?dego miesiąca, wiem | Dodane przez marcin_an w dniu - 2006-01-24 20:37:10
No to wreszcie kiedy? 30 minut po infekcji, czy trzeciego ka?dego miesiąca? | Dodane przez mortar w dniu - 2006-01-24 20:41:18
No wlasnie! Az sie pofatyguje na strone F-Secure :D | Dodane przez brtcoder w dniu - 2006-01-24 20:45:37
" [...] The payload is activated 30 minutes after the worm's file UPDATE.EXE is loaded into memory (basically 30 minutes after logon)"
?adunek jest aktywowany 30 minut po tym jak program UPDATE.EXE (ale niez?y update robi) zostaje za?adowany do pami?ci (zwykle 30 minut po zalogowaniu)
Czyli ka?dego 3-go ciągle masz 30 minut ?eby powalczy?, jeśli z?apiesz Nyxem.E |
Aby dodać komentarz zaloguj się. Jeśli nie masz konta, załóż je sobie.
Tylko zarejestrowani użytkownicy mogą pisać komentarze. Powered by AkoComment 2.0! |
