|
Vírusleírások -- 2002. október
BevezetőEzen az oldalon a (saját statisztikánk szerint) leggyakrabban előforduló vírusokról adunk egy tömör, közérthető összefoglalót. Amennyiben kérdése, észrevétele van, akkor kérjük írjon az antivirus@andocsek.hu címre.
Vírusmentes munkát kívánunk mindenkinek:
Figyelem! Az általunk közreadott hírlevelek sohasem tartalmaznak csatolt fájlokat, csupán a fájlokra mutató linkeket. Ha ilyennel találkozna, az nem tőlünk származik, hanem vírustevékenység (vagy rosszindulatú "tréfa") eredménye. A W32.Bugbear féregvírus
A Bugbear vírus robbanásszerűen terjed. Legjellemzőbb tulajdonsága, hogy céges hálózatokban
"látványos" dolgokra képes: a hálózaton megosztott nyomtatók maguktól megelevenednek, és
hosszasan nyomtatnak értelmetlen jeleket, karaktersorokat. Ilyenkor ki kell kapcsolni a nyomtatót és
törölni kell a nyomtatási sort.
Ingyenes kereső- és eltávolítóprogram Ingyenes kereső- és eltávolítóprogram 2.
A W32.Frethem féregvírusJelenleg már a K változata is megjelent a rendkívül szapora Frethem féregvírusnak. Saját beépített levelező kliensét felhasználva küldi el magát a Microsoft Adress Bookban található címekre. Ezzel a tevékenységével felesleges levélforgalmat okoz, leterheli a hálózatot és fennakadásokat okozhat az e-mail forgalomban. Szerencsére rombolást (egyelőre) nem végez. Felismeréséhez friss vírusadatbázis-frissítést kell letölteni. A másik feladat: aki még nem tette volna meg, frissítse 5-ös Internet Explorerét 6-osra, vagy tegye fel a vírus automatikus elindulása ellen védő SP2 hibajavítást.
W32.Klez.E és W32.Klez.HA tavaly októberben megjelent Klez újabb változatai. Kifinomult trükkjeiknek köszönhetően március és április hónap abszolút listavezetőivé váltak. Mindkét változat elsődlegesen levél csatolt részeként érkezik, a levél tárgy (subject) sora ill. tartalma nem jellemző, véletlenszerűen változhat. A csatolt fájl neve szintén nem jellemző, kiterjesztése viszont .bat, .pif, .scr vagy .exe lehet (több kiterjesztés esetén a második, valós kiterjesztés ez). A levél feladója ne tévesszen meg senkit: a Klez a fertőzött gépen e-mail címek után kutat, és ezek valamelyikét adja meg feladóként (így a valódi feladó sokkal nehezebben nyomozható le, és sokkal nehezebb figyelmeztetni a veszélyre). Aki még nem frissítette Internet Explorerét az SP2 csomaggal, vagy az IE6 változatra, az mielőbb tegye meg, mert ez a változat is (hasonlóan az eddigiekhez) az Internet Explorer hibáját kihasználva automatikusan képes aktiválódni (a frissítéssel kapcsolatos tudnivalókat a Nimda vírusnál részleteztük). A Klez.E és Klez.H másik terjedési módszere az, amikor egy lokális hálózaton a megosztott (shared) könyvtárakba másolják be magukat különféle neveken, .bat, .pif, .scr, .exe és .rar kiterjesztésekkel. A fájlok hossza kb. 80 kB. A Klez.E esetében nagyon fontos, hogy időben felfedezzük a fertőzést, mert a vírus minden páratlan hónap 6. napján (így május 6-án is!) támad, és számos állományt örökre használhatatlanná tesz (feltölti nullákkal). A vírusokkal foglalkozó cégek számos ingyenes "fegyvert" adtak ki a Klez különféle változatai ellen. Ezeket csökkentett (safe) módban futtassuk le (normál módban a vírus aktív marad a memóriában, és újraindítás után visszafertőződik a gép).
Bővebb információ angolul (Klez.E) Bővebb információ angolul (Klez.H)
Ingyenes kereső- és eltávolítóprogram Ingyenes kereső- és eltávolítóprogram 2. Ingyenes kereső- és eltávolítóprogram 3. Ingyenes kereső- és eltávolítóprogram 4.
I-Worm.Badtrans.BA Symantec által 4-es kategóriába sorolt féregvírus-változat az utóbbi néhány napban igen gyakorivá vált. Ez köszönhető annak is, hogy sokan még mindig nem tették fel IE5-ös böngészőjükhöz az SP2 javítócsomagot, így a vírus könnyedén elindul az Outlook ill. Outlook Express levelezőprogramokkal anélkül, hogy a felhasználó utasítást adna a csatolt állomány megnyitására. Elegendő csupán a fertőzött mail-t elolvasni, és máris aktiválja magát a féreg. A fertőzött levél feladója és tárgya nem jellemző, (időnként RE: a subject, de lehet más is), viszont a csatolt fájl mérete egységes: mindig 29020 byte. Maga a vírus szerencsére nem túl veszélyes, csak egy key-loggert (billentyűzetleütés-naplózót) és a továbbítást végző kódot tartalmazza, romboló rutinokat nem. A Windows rendszerkönyvtárba (windows/system v.winnt/system32 stb.) betelepülő KERNEL32.EXE-ről (Figyelem! Nem a kernel32.dll-ről van szó!) ismerhető fel jelenléte.
Eltávolítása Az eltávolítást végezhetjük kézzel vagy segédprogrammal. A segédprogramot esetleg többször is le kell futtatni, használat után mindig újra kell indítani a gépet. Fontos, hogy a Windows csökkentett üzemmódjában (Safe mode, NT esetében VGA mode) végezzük el a vírusirtást. Ha kézzel végezzük az eltávolítást, akkor a kernel32.exe-t és a kdll.dll-t kell törölni, majd a regisrtry állományból kivenni a vonatkozó bejegyzést kézzel vagy egy kis segédprogrammal. A WinME operációs rendszert használó gépeken még egy probléma van. A rendszerbeállító funkciót (System Restore) kihasználva ugyanis újraindítás után visszafertőződik a PC. Ennek elkerülése érdekében az alábbi eljárást kövessük (ugyanez ábrákkal szemléltetve, angolul).
Aki még nem tette volna meg eddig, az mielőbb frissítse Internet Explorerének (IE) 5.01-es ill. 5.5-ös változatát a Service Pack 2-vel, vagy telepítse az új IE 6-ot (az eleve tartalmazza a javítást). A frissítés megtalálható a népszerűbb számítástechnikai magazinok CD-mellékletén is. Az SP2 telepítése után a vírus nem indul el automatikusan a levél elolvasását követően, hanem a levelező program figyelmeztet a vírusveszélyre:
Részletesebb információ magyarul Részletesebb információ angolul További részletes magyar nyelvű információ A regisztrációs állomány vírusmentesítése Automatikus eltávolító 3. (Symantec)
I-Worm.NimdaA Nimda az eddigi talán legsokoldalúbb vírus, ennek köszönhetően rendkívül elterjedt. Sajátossága, hogy totális támadást intéz a Microsoft platformon működő gépek ellen. Nem csak e-mail mellékleteként terjed, de a biztonsági javításokat nem tartalmazó Microsoft IIS szervereken keresztül, sőt: a frissítés nélküli Internet Explorereken keresztül is, böngészés közben. A helyi hálózatba már normál fájlvírusként kerül be, miközben átjárhatóvá teszi (írási ill. adminisztrációs jogokat adva a megtámadott gépen bárkinek) a helyi hálózatot. Ezen tulajdonságából származik vélhetően a neve is: a Nimda megfordítva: admin…
Az általunk eddig látottak között az egyik legkifinomultabb és legsokoldalúbb betolakodó. Levélhez csatolva az első változat README.EXE-ként érkezett, de lehet más is az elnevezése (exe kiterjesztéssel), pl. az „E” kódjelű, október legvégén megjelent változat Sample.exe-ként érkezik.
Ha a Nimda megtámadta a gépünket, akkor a Windows könyvtárban (általában c:/windows) egy load.exe fájlt találunk (Win98/SE/ME operációs rendszer esetében) ill. egy load32.exe-t (Windows NT/2000/XP rendszerek esetében), de az újabb mutációknál az elnevezés más is lehet. A Nimda-fertőzés csalhatatlan jele, hogy hatalmas mennyiségű .eml és .nws (elektronikus levél és hírcsoport) fájl szóródik szét a helyi és (ha van rá írási jogunk) a távoli könyvtárakban, a desktopon, de akár a Start-menüben is. Az .eml fájlok neveit a helyi és a távoli winchestereken tárolt dokumentumok (.doc) és web-fájlok (.htm, .html) neveiből hozza létre a vírus, maga a fájl pedig a vírust tartalmazza kódolva (un. MIME kóddal). Emellett találhatunk még RICHED20.DLL-eket (de a név lehet RICHED32.DLL, vagy RICHED.DLL is) rejtett fájlként a Windows alapkönyvtárban (ennek a dll-nek az eredeti helye a windows/system könyvtár), valamint a dokumentumokat (.doc) és a levél-fájlokat (.eml) tartalmazó könyvtárakban is.
Mivel a Nimda az Internet Explorer egy biztonsági rését használja a fertőzéshez, gépünkre bekerülve az Outlook címjegyzéken kívül a .htm és .html fájlokban található email címekre is továbbítja magát. Aki még nem tette volna meg eddig, az mielőbb frissítse Internet Explorerének (IE) 5.01-es ill. 5.5-ös változatát a Service Pack 2-vel, vagy telepítse az új IE 6-ot. A frissítés megtalálható a népszerűbb számítástechnikai magazinok CD-mellékletén is. A frissítésekkel kapcsolatban a Microsoft az alábbi közleményeket adta ki: MS01-020, MS01-027, MS00-078. Tapasztalataink szerint azok a gépek, amelyeken nem az Outlook vagy az Outlook Expressz valamelyik változata fut, jóval nagyobb biztonságban vannak, mert az egyéb levelező- programok közül kevés tudja értelmezni az .eml kiterjesztésű fájlokat.
A vírus eltávolítását a bátrabbak és a gyakorlottabbak elvégezhetik akár manuálisan is a leírások alapján, de érdemesebb valamelyik ingyenes eltávolító programot használni. A fenti ábrán épp egy ilyet látunk munka közben.
Néhány szó az újabb változatokról. A Nimda most (2001.10.29.) éppen az E jelű változatnál tart: kijavították (sajnos) a vírus kódjában lévő hibákat, módosították úgy, hogy a régebben (régebben= 1-2 hete !!!) frissített víruskeresők ne ismerjék fel, és megváltoztatták a fertőzés során használt fájlok neveit is (a levélben érkező vírus pl. nem readme.exe, hanem sample.exe lett, az Mmc.exe már Csrss.exe stb.). Tanulság: frissítsük gyakran víruskeresőnket !!! (Az Antivírus Centrum a legelterjedtebb vírusellenőrző programok frissítéseit hetente (vagy gyakrabban) aktualizálja.)
Kézi eltávolítás (lásd: Disinfection instructions) Eltávolító program a Nimda.E változatához
W32.Klez.AA Klez egy október végi új féregvírus (2001.10.25-én azonosította a Symantec, másnap jelentette be az F-Secure). A Klez lényegében nem más, mint a szintén ugyanekkor megjelent, polimorf ElKern fájlvírusnak egy levélben terjedő féreg változata. Veszélyességét az adja, hogy ugyanazt a Internet Explorer hibát használja ki, amit a Nimda is, így az SP2 frissítés nélküli IE5.0 és IE5.5 változatok (pontosabban a kapcsolódó MS Outlook ill. MS Outlook Express levelezők) használata esetén AKKOR IS MEGNYÍLIK és végrehajtódik a vírusos fájl, ha nem nyitjuk meg a csatolt állományt, csupán megnézzük a levél tartalmát! Ennek elkerülése érdekében a vonatkozó tanács ugyanaz, mint a Nimda esetében: mielőbb frissíteni kell az IE-t az SP2-vel, lásd: MS01-020.
A Klez változatos formában érkezhet, azaz többféle szöveg lehet a tárgy mezőben, és a csatolt fájl neve is bármi lehet. Az eddig talált Klez férgekben annyi volt a közös, hogy a szövegmező mindig üres volt. A Klez a helyi és a távoli meghajtók gyökérkönyvtárába (c:\) másolja be magát valamilyen kettős kiterjesztéssel (pl. .TXT.EXE). Emellett a Windows system könyvtárába (pl. c:\windows\system) is bemásolja magát Krnl132.exe néven (a név változhat!). Közben sokszorosítja is magát az Outlook címjegyzékében talált címekre. Minden hónap 13-án támad, ekkor a helyi és az elérhető távoli mappákban bizonyos fájlok hosszát nullára változtatja. Csak a legújabb (okt.26. utáni) frissítésű vírusellenőrzők találják meg, viszont eltávolító eszköz még nem született, egyelőre a megtalált fertőzött fájlok törlése jelenthet csupán megoldást!!! (A cégek természetesen gőzerővel dolgoznak az eltávolítón.)
I-Worm.SircamAz I-Worm.Sircam (továbbiakban: Sircam) egy e-mail-ben terjedő, 130 kB-os féregvírus. Augusztusban volt a csúcson, de még októberben is sok munkát adott. Sajnos hiába figyelmeztettük többször is a velünk kapcsolatban álló cégeket, az alkalmazottak rendre megnyitották az idegen nyelven írt üzenetekhez csatolt állományokat…
A fertőzött levél mellékleteként (attachment) érkezik az alábbi angol vagy spanyol nyelvű szöveggel:
"Hi! How are you? (…) See you later. Thanks"
"Hola como estas ? (…) Nos vemos pronto, gracias."
Az ilyen tartalmú levél csatolt fájlját NE nyissuk meg, és a levelet is haladéktalanul töröljük. A feladó bárki lehet (akár ismerősünk is), a tárgy (subject) ill. a csatolt állomány neve úgyszintén. A Sircam a csatolt fájl eredeti nevéhez hozzáilleszt még egy kiterjesztést (pl. a tartalom.doc-ból tartalom.doc.pif lesz), így nehezen ismerhető fel, amennyiben ki van kapcsolva a kiterjesztés megjelenítése funkció.
A támadásról árulkodik a Windows rendszerkönyvtárában (általában c:\windows\system) lévő scam32.exe, valamint a törölt állományok között fellelhető c:\recycled\sirc32.exe. A Sircam eltávolítása rögtön a megjelenés után nem volt problémamentes, azonban a vírusirtók eltávolító algoritmusán azóta sokat finomítottak. Ennek köszönhetően a friss adatbázissal rendelkező víruskereső programokkal az eltávolítás általában sikeresen megoldható. Letöltő oldalunkon néhány speciálisan erre a vírusra írt víruskeresőt/eltávolítót is elhelyeztünk.
Nagyon figyeljünk, hogy ha van helyi hálózat, akkor ideiglenesen válasszuk le a fertőzött gépeket, ellenkező esetben ugyanis visszafertőződhetnek a már leirtott, tiszta PC-k is a még vírusfertőzöttektől! Nem kötelező fizikailag széthúzni a hálót, elég, ha a helyi winchesterek megosztását levesszük. Mivel a vírus az autoexec.bat-ba is beírja magát (@win \recycled\sirc32.exe), így a hálózaton szabadon garázdálkodhat, amennyiben az adott gépről van máshová írási joga!
Kézi eltávolítás leírása angolul
W32.Toal.AA Toal egy október végén (2001.10.23.) megjelent féregvírus, a tárgy mező többféle szövegű és nyelvü lehet, a csatolt állomány Binladen_brasil.exe. A levél szöveges része üres. Veszélyességét az adja, hogy ugyanazt a Internet Explorer hibát használja ki, amit a Nimda is, így az SP2 frissítés nélküli IE5.0 és IE5.5 változatok (pontosabban a kapcsolódó MS Outlook ill. MS Outlook Express levelezők) használata esetén AKKOR IS MEGNYÍLIK és végrehajtódik a vírusos fájl, ha nem nyitjuk meg a csatolt állományt, csupán megnézzük a levél tartalmát! Ennek elkerülése érdekében a vonatkozó tanács ugyanaz, mint a Nimda esetében: mielőbb frissíteni kell az IE-t az SP2-vel, lásd: MS01-020. A Windows system könyvtárába (pl. c:\windows\system) Invictus.dll néven, míg a Windows alapkönyvtárba (pl. c:\windows) 3 véletlen karakterből álló néven, exe kiterjesztéssel másolja be magát. Hálózatos gépeknél a c: meghajtóra teljes hozzáférést biztosít a hálózat felöl. A vírusnak károkozó része nincs, viszont képes elég meglepő „vizuális támadást” produkálni.
Az aktuális frissítéssel ellátott víruskeresők megtalálják. Eltávolítását nehezíti, hogy az explorer.exe-be is befészkeli magát, amit viszont állandóan fog a rendszer. Az első linken részletes útmutatót kapunk manuális kiirtásához (angolul).
I-Worm.MagistrA Magistr e-mail-ek csatolt állományaként érkezik. A levél tartalma tetszőleges lehet (a vírus a megtámadott gép címjegyzékeiből keresi ki a címeket, a tartalmat pedig a gépen található .txt és .doc szöveges állományokból). Megtalálhatóságát megnehezíti azzal, hogy állandóan változtatja a saját kódját (ez az un. polimorf tulajdonság). Veszélyessége abban rejlik, hogy állományokat töröl a winchesterről, ill. Win98/SE/ME alatt felülírja az alaplap BIOS-át (ennek sérülése esetén a gép teljesen használhatatlan lesz, az operációs rendszer még floppy-lemezről sem indítható). Sajnos a BIOS elvesztése rossz esetben csak az alaplap cseréjével orvosolható (jó esetben letölthető a gyártó cég web-oldaláról a szükséges kód, és találunk olyan szerviz céget is, ahol újra tudják programozni ennek alapján a BIOS-t).
Hasznos linkek
További részletes információt az alábbi oldalakon találhat: Részletes vírusleírások angolul Az aktuális (adott napon aktiválódó) vírusok listája angolul Részletes vírusleírások és tanácsok magyarul További tippek magyarul
Wigwam -- az internet-biztonsági portál Antivírus és internet-biztonsági linkek gyűjteménye magyarul
|
