Hazánkban is rohamosan terjed a MYTOB féreg
A Trend Micro közepes szintű riasztást tart fent a MYTOB féreg legújabb variánsai miatt – a legutóbbi 2 változatot számos országban, köztük hazánkban is észlelték.
Az elmúlt 2 hónapban – 2005. februári 26-i megjelenése óta – a MYTOB féreg több mint 100 variánsát azonosította a Trend Micro globális vírusvédelmi kutató és támogató központja, a TrendLabs. A Vírushiradó mai statisztikái alapján Magyarországon az elmúlt 7 napban a MYTOB-nak 39 féle variánsa bukkant fel és okozott károkat, összesen 588.037 fertőzést eredményezve a freemailes levelezőrendszerben. Ez az elmúlt 7 napban történt támadások közel 30%-át teszi ki, a teljes fertőzött állomány 2 millió emailt tartalmaz.
A MYTOB terjedési módja
A korábbi változatokhoz hasonlóan ez a memóriarezidens féreg is úgy terjed, hogy e-mail üzenetekben csatolt fájlként másolatokat küld önmagáról a címzetteknek saját SMTP (Simple Mail Transfer Protocol) motorján keresztül. Elindítása után a féreg letölt egy kémprogramot, amely reklámokat helyez el az áldozatok számítógépein. A féreg hátsó ajtók megnyitására is képes, és egy beépített Internet Relay Chat (IRC) bottal rendelkezik, ami lehetővé teszi számára, hogy csatlakozzon egy megadott IRC szerverre.
A terjedéshez felhasznált taktikák
A klasszikus – a felhasználók hiszékenységét kihasználó taktikákat alkalmazva a MYTOB az adott e-mail postafiókra vonatkozó fontos üzenetként tünteti fel magát – mintha az üzenetet egy rendszergazda küldené. A féreg számos különböző témájú és szövegtörzsű levélben érkezhet. Azt kéri, hogy a felhasználó reagáljon a levélre, ha el kívánja kerülni postafiókjának letiltását vagy megszüntetését.
A Trend Micro szakértőjének javaslata a védekezésre
„Nem ez az első alkalom, hogy ilyen, a felhasználói hiszékenységre alapozó taktikákat látunk a rosszindulatú kódok készítőitől, és már korábban is szerepeltek hírességek nevei a kártékony alkalmazásokban. Ugyanakkor a hátsó ajtó képességekkel együtt alkalmazott kémprogramok és reklámok egyre növekvő száma már aggasztóbb, mivel ezek az alkalmazások lehetővé teszik a támadó számára, hogy becsapják áldozatukat. A Trend Micro javasolja a rendszergazdáknak, hogy tiltsák le a nem feltétlenül szükséges fájlkiterjesztések használatát, például az .exe, .pif és .scr fájlokét, a végfelhasználóknak pedig azt, hogy ne nyissák meg a gyanús e-maileket és csatolt állományokat, valamint biztosítsák, hogy a vírusvédelmi mintafájlok mindig naprakészek legyenek.” – nyilatkozta David Kopp, a TrendLabs EMEA vezetője.
A Trend Micro ügyfelei védettek e fenyegetés ellen a legutóbbi 2.653.00 számú mintafájl használata esetén. Az Outbreak Prevention Services ügyfelek az OPP 177 (vagy újabb) fertőzésmegelőzési házirend letöltésével védekezhetnek e fenyegetés terjedése ellen. A Damage Cleanup Services-t (Kárelhárítási Szolgáltatások) igénybe vevő ügyfelek a 622. számú sablonfájl letöltésével könnyíthetik meg az érintett rendszerek automatikus helyreállítását.
A többi felhasználónak a Trend Micro ingyenes online víruskereső szolgáltatását, a Housecallt ajánljuk, amely a http://housecall.trendmicro.com/ címen érhető el.
WORM_MYTOB.BI és WORM_MYTOB.AR
A féreg elindítás után egy fájlt helyez el a Windows rendszermappákban, amelynek elnevezésében gyakran egy híres belga színésznő, Lien Van de Kelder neve szerepel. A TSPY_AGENT.H néven azonosított kémprogram összetevő lehetővé teszi a támadó számára, hogy nyomon kövesse a mediatickets.net kémprogram-weboldalon végzett egérkattintásokat, így követhetők a fertőzési mutatók és a felhasználói preferenciák is.