Dátum: 2001. november 27., 22:12
Feladó: Tepliczky Istvan --
Tárgy: W32/BadTrans.B-mm vírusriadó!
Kedves Barátink!
Kivételesen egy vírusriadóval zavarunk Benneteket - kapjon mindenki korrekt
információkat, az a biztos! A helyzet komolyságára jellemző, hogy kaptunk már
többen is barátainktól - nyilván tudtuk nélkül - a leírásban szereplő vírussal
fertőzött leveleket.
Az információk forrása:
-- PSS Security Response Team
-- VírusBuster Team
PSS Security Response Team - Riasztás
***************************
Fenyegetettség: KÖZEPES
Érintett technológia: Internet Explorer 5.01 SP1 és 5.5 SP1
Dátum: 2001. november 26.
***************************
Technikai leírás:
Egy új vírus, W32/BadTrans.B-mm, került ki az Internetre és fertoz széles körben
egy már elozoleg kiadott patch által javított biztonsági résen keresztül. A
vírus levelezés útján terjedo féreg, mely egy trójai elemet is telepít.
A vírus az MS01-020 -ban leírt rést használva támad, mely azt jelenti, hogy a
vírus aktivizálódhat a levél Outlookból történo olvasása vagy betekintés során
is, vagyis nem szükséges a melléklet megnyitása. A támadási lehetoséget bezáró
patch már március óta letöltheto a Microsoft oldalairól.
Gondoskodjon arról, hogy telepítve lehyen az alábbi címrol elérheto patch
(MS01-020): < http://www.microsoft.com/technet/security/bulletin/MS01-020.asp>
Mint mindig, most is legyen meggyozodve, hogy a legfrisseb antivírus programmal
(adatbázissal) rendelkezik, melynek segítségével a legfrissebb vírusok és
variációk detektálhatók.
Üdvözlettel
PSS Security Response Team
Részletes leírás
A vírus fertozött e-mail üzenetek mellékleteként érkezik. A melléklet
lefuttatásakor bemásolja magát a Windows rendszerkönyvtárába KERNEL32.EXE néven,
majd letörli az eredeti állományt, amivel a számítógépre érkezett. Ezen felül
egy billentyuleütéseket rögzíto trójai programot is bemásol oda.
A regisztrációs adatbázisban a
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/Once
kulcs alatt Kernel32 néven bejegyzi a KERNEL32.EXE komponenst, így az a
következo rendszerindításkor automatikusan végrehajtódik. Ekkor újra beírja
magát ugyanezen kulcs alatt, így végül is minden rendszerindításkor
aktivizálódik a vírus.
A billentyuleütéseket rögzíto trójai program a Windows rendszerkönyvtárában levo
CP_25389.NLS állományba rögzíti a leütéseket, majd ennek tartalmát e-mailen
elküldi a címre.
A vírus a számítógépen található HT* és ASP kiterjesztésu állományokból,
valamint a bejövo levelesládából gyujti be az e-mail címeket, és ezekre küldi
tovább magát.
A kiküldött levelek címsora vagy üres, vagy az üres Re: sort tartalmazza,
illetve, ha a címet a bejövo levelesládából olvasta ki a vírus, az eredeti
címsor és az elé illesztett Re: lesz. A levelek tartalma üres, mellékletként
pedig a vírust tartalmazzák. A melléklet kettos kiterjesztésu, az elso tagja
DOC, ZIP vagy MP3, a második tagja pedig SCR vagy PIF. A melléklet nevét az
alábbi listából választja ki véletlenszeruen a vírus:
Pics
Card
Images
Me_nude
README
Sorry_about_yesterday
New_Napster_Site
infonews_doc
docs
HAMSTER
Humor
YOU_are_FAT!
Fun
Stuff
SEARCHURL
SETUP
S3MSONG
A vírus az Intenet Explorer 5.0 és 5.5 változatanak biztonsági hibáját használja
ki, aminek révén a levélmelléklet külön futtatása nélkül, csak a levél
megnyitásával már aktivizálódik.
Végezetül: A McAffe vírusirtó legfrissebb DAT-fájljai, amelyek már ismerik és
irtják a vírust, a következő címről tölthető le:
ftp://iris.elte.hu/pub/antivir
Vírusmentes hétköznapokat kívánva, üdvözlettel:
Tepi