Fabiányi Gábor
Forrás: Kürt Computer
2002. október 1., kedd 11:41
Új, jelentős képességekkel rendelkező emailes féregvírus terjed az interneten. Többek között Angliából és Oroszországból érkeztek jelentések a "Tanatos/Bugbear" nevet kapott kártevő okozta fertőzésekről.
Az F-Secure antivírusszoftver-gyártó jelentősnek ítélte a vírus okozta lehetséges károk veszélyét, és a jelenlegi elterjedtség mértékét, ezért hétfő délután 2-es szintű RADAR riasztást adott közre. Mindenképpen javasolják a vírusadatbázisok frissítését.
Jelszavakat lop
A Tanatos trójai programként is funkcionál, többek között a begépelt szöveget - esetlegesen a jelszavakat(!) is - naplózza. Mérete csak 50688 bájt, így a féregvírus könnyen terjedhet levelek mellékleteként, véletlenszerű fájlneveket használva. Megtévesztés céljából több kiterjesztése is lehet a fertőzött fájlnak, vagyis az igazi típus Windows alatt alapesetben el van rejtve. A levelek tárgysora és törzse (szövege) is változó, így nem nyújt igazi segítséget a szűréshez.
A víruskód egy közismert microsoftos böngészőhiba (I-Frame.exploit) felhasználásával megpróbál automatikusan lefutni az Outlook, Outlook Express levelezőrendszerek betekintő ablakában, ami nagyon hatékony módszer a vírusok terjedésére. Íme egy újabb nyomós érv az IE biztonsági javításának telepítése vagy frissítése mellett.
Ha a Tanatos féreg bejutott a gépre, változó neveken (pl. JFMV.EXE) bemásolja magát a Windows rendszerkönyvtárba, és gondoskodik arról, hogy rendszerindításkor lefusson. Ugyancsak telepítésre kerül egy kémkomponens is, amely a billentyűleütéseinket naplózza.
Vírusirtót irt
A kártevő megpróbál vérfürdőt rendezni a gépünkre telepített biztonsági szoftverek között is, ha megtalálja őket. Így ha víruskeresőnk adatállománya a fertőzési kísérlet pillanatában régi volt, és még nem ismerte a Tanatost, akkor a gép megfertőződhet, és ezután az internetes féreg a víruskereső kikapcsolásával utat nyithat a régebbi kártevők bejutása előtt is. Ezért fontos, hogy mihamarabb adatbázist frissítsünk, és ezt a tevékenységet rendszeresen végezzük (állandó internetkapcsolat esetén akár naponta javasolt frissíteni).
A trójai komponens lehetővé teszi, hogy távolról bejussanak gépünkre, majd azon keresztül a helyi hálózatra, amelyre kapcsolódik. A Tanatos internetes féreg ehhez egyszerűen kezelhető webes felületet kínál, ezért veszélyes fegyver lehet kevésbé képzett hackerek (script kiddie) kezében is.
A Tanatos vírus kódja bonyolult, jelenleg is elemzés alatt áll, a mindenkori friss információkat megtalálják ezen a weblapon (angol nyelven).
A JS Exception.Exploit egy gyujtonev, nem konkret virust takar, hanem virusokban megtalalhato kozos kodreszlet felismereset.
Olyan weblapokban talaljak ezt meg, amelyek az Internet Explorer biztonsagi hibajat hasznaljak fel arra, hogy a szamitogepre fajl tijanak ki, vagyo hogy a regisztracios adatbazisban turkaljanak. Tipikusan peldaul az Internet Explorer kezdolapjat iranyitjak at valamilyen mas cimre.
Normalis weblap normalis programozoja nem hasznalna ilyen technikakat, nem ok nelkul kerult be a karantenba. De mivel a felismeres nem konkret virusra vonatkozik, nem lehet megmondani, hogy pontosan mit csinal, mirol van szo. Nekunk is van vagy szaz kulonbozo peldanyunk, ami ezt a technikat hasznalja.
Mivel a nev alapjan ugy tunik, az Internet Explorer cahce-eben talalta meg a kereso, webbongeszes kozben talalhattal egy nem tul tiszta technikakat alklamazo weblapra.
Gond nelkul kidobhato.
Ha kaptok olyan levelet, amelynek a tárgya:
"new photos from my party!" NE NÉZZÉTEK MEG!
Ez a levél egy W32.Myparty@mm virust tartalmaz.
A Norton Antivirus 2002.01.27-ei frissités
felismeri a virust.
Ha gondolod add tovább a figyelmeztetést
barátaidnak is.
Sajnos ez mar tenyleg kenyszeruen hozzatartozik az Internet hasznalathoz.
De a legjobb tuzfal is csak annyira jo, amennyire az ot hasznalo ember. Ha minimalis hozzaertes nelkul hasznalva, az osszes programnak gondolkodas nelkul kijutast engedelyez a netre, akkor semmit sem er vele.
Sokkal inkabb a biztonsagos Internet hasznalatot kellene elsajatitani (pl. nem futtatunk ellenorzes nelkul letoltott vagy e-mailben kapott programokat), mintsem kulso programokban remenykedni. Kellenek azok is, de csak annyit ernek, amennyit a hsznalojuk megenged nekik.
Kedves Péter!
Teljes mértékben egyetértek. A biztonságot nagymértékben javítja, ha TŰZFAL-at is felrakunk. KábelTV-s Internetnél szinte elengedhetetlen.
( Nemcsak vírusok vannak! Érdeklődő ismeretlenek is kószálnak a hálón……… )
Márfai P.
Igen-igen rossz véleménnyel vagyok azokról, akik ilyen "ittazújabretteneteshalálvírus, jajnenyisdmegjajtöröldle" leveleket küldözgetnek. Tessék már végre megérteni, hogy ettől senki nem lesz védettebb egy büdös hangyaf@sznyival sem. Védett akkor lesz az ember, ha van a gépén rendszeresen frissített vírusirtó, ami be is van kapcsolva. Kész, ennyi, nincs tovább!
Tudod Péterem, ha a Rábel Csaba meg is jelenne néha itt, és nem csak megnyitotta volna a "..:: INTERNET ::.." című topikját, akár szakmai vitát is folytathatnátok, a tőlük eredő "figyelmeztetés" kapcsán :(.
Állítólag ismét terjed a sulfnbk.exe programmal kapcsolatos vírus-kacsa. Kattanjatok az előzményhez és olvassátok el az utána következő néhány hozzászólást is!
Ami a legfontosabb: NE TÖRÖLJÉTEK A SULFNBK.EXE-T és ne továbbítsátok az erre buzdító levelet!!!
Status: U
Return-Path: <>
Received: from brutus.emitel.hu ([192.168.1.1]) by nero.emitel.hu
(Netscape Messaging Server 3.6) with ESMTP id AAA5257
for ; Thu, 6 Dec 2001 23:50:11 +0100
Received: by brutus.emitel.hu (8.9.3/8.9.1) id XAA18988
for ; Thu, 6 Dec 2001 23:50:08 +0100 (MET)
Received: from sugovica.baja.hu(195.228.182.21) by brutus.emitel.hu via smap (V5.0)
id xma018933; Thu, 6 Dec 01 23:50:05 +0100
Received: (qmail 24519 invoked by uid 77); 6 Dec 2001 22:50:08 -0000
Date: 6 Dec 2001 22:50:08 -0000
Message-ID: <20011206225008.24518.qmail@mail.baja.hu>
From: turmix.hu@mail.baja.hu
Cc: recipient list not shown: ;
Delivered-To: thernesz@turmix.hu
Received: (qmail 24505 invoked from network); 6 Dec 2001 22:49:59 -0000
Received: from unknown (HELO lili) (195.228.10.96)
by sugovica.baja.hu with SMTP; 6 Dec 2001 22:49:59 -0000
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEXQVKL23CXQV4DYBG9"
Status: U
Return-Path: <>
Received: from brutus.emitel.hu ([192.168.1.1]) by nero.emitel.hu
(Netscape Messaging Server 3.6) with ESMTP id AAA4E80
for ; Thu, 6 Dec 2001 23:40:05 +0100
Received: by brutus.emitel.hu (8.9.3/8.9.1) id XAA06783
for ; Thu, 6 Dec 2001 23:40:02 +0100 (MET)
Received: from sugovica.baja.hu(195.228.182.21) by brutus.emitel.hu via smap (V5.0)
id xma006622; Thu, 6 Dec 01 23:39:55 +0100
Received: (qmail 23956 invoked by uid 77); 6 Dec 2001 22:39:58 -0000
Date: 6 Dec 2001 22:39:58 -0000
Message-ID: <20011206223958.23955.qmail@mail.baja.hu>
From: thernesz.hu@mail.baja.hu
Cc: recipient list not shown: ;
Delivered-To: thernesz@thernesz.hu
Received: (qmail 23943 invoked from network); 6 Dec 2001 22:39:48 -0000
Received: from unknown (HELO lili) (195.228.10.96)
by sugovica.baja.hu with SMTP; 6 Dec 2001 22:39:48 -0000
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEXQVKL23CXQV4DYBG9"
A tárgy (subject) sorban csak annyi áll, hogy "Hi" és van egy csatolt fájl, ami képernyővédőnek akarja mutatni magát (GONE.SCR).
A new High Risk virus called W32/Goner@MM is replicating itself rapidly on the internet. This virus will use Outlook to resend itself.
Mail characteristics:
Subject: “HI”
Attachment: “GONE.SCR”
For more info about the virus see:
http://vil.nai.com/vil/virusSummary.asp?virus_k=99272
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_GONE.A
Éppen nyakig vagyok a melóban miatta, ha kicsit kifújtam magam, jelentkezem.
>Netscape, Opera ... Segítenél egy kicsit részletesebb összehasonlító érveléssel ?
Nem igazan tudok segiteni, keveset hasznalom oket. Emiatt meg problemat sem talaltam veluk kapcsolatban. De nagy elonyuk, hogy kevesebb biztonsagi problema van veluk, mint az Internet Explorerrel.
A karantén tartalma:
STUP. DOC.src C:\WINDOWS\Temporary Internet Files\Content.IE5\6WQGEXJW 2001.11.28 18:32 Nincs továbbítva Karanténba helyezve W32.Badtrans.B@mm
Ennel azert erosebb allitas is megfogalmazhato, vilagszerte igen komoly fertozeseket okozott.
Az igazat megvallva, iden meg ilyen eros virusaktivitast nem lattunk, mint amit a Badtrans hozott ossze harom nap alatt - pedig volt egy-ket szapora virus iden (Sircam, Code Red, Nimda...)
Es meg egy rossz hir: minden hiresztelessel ellentetben az Internet Explorer 6.0 valtozata sem vedett a virus ellen, ugyhogy itt az ideje kiprobalni az alternativ megoldasokat: Netscape, Opera.
A lenyeg lemaradt, igy nemigen allapithato meg, melyik virusrol lehet szo. A Mostamaban gyakoriak kozul szinte akarmelyik lehet (Nimda, Klez, Badtrans,...)
Status: U
Return-Path: Received: from brutus.emitel.hu ([192.168.1.1]) by nero.emitel.hu
(Netscape Messaging Server 3.6) with ESMTP id AAA6298
for ; Wed, 28 Nov 2001 12:57:56 +0100
Received: by brutus.emitel.hu (8.9.3/8.9.1) id MAA09922
for ; Wed, 28 Nov 2001 12:57:52 +0100 (MET)
Received: from sugovica.baja.hu(195.228.182.21) by brutus.emitel.hu via smap (V5.0)
id xma009675; Wed, 28 Nov 01 12:57:26 +0100
Received: (qmail 13207 invoked by uid 77); 28 Nov 2001 11:57:27 -0000
Date: 28 Nov 2001 11:57:27 -0000
Message-ID: <20011128115727.13206.qmail@mail.baja.hu>
Delivered-To: thernesz@turmix.hu
Received: (qmail 13202 invoked from network); 28 Nov 2001 11:57:26 -0000
Received: from unknown (HELO mail.axelero.hu) (195.228.240.83)
by sugovica.baja.hu with SMTP; 28 Nov 2001 11:57:26 -0000
Received: (qmail 6121 invoked from network); 28 Nov 2001 12:45:05 +0100
Received: from line-115-30.dial.matav.net (HELO aol.com) (145.236.115.30)
by mail.axelero.hu with SMTP; 28 Nov 2001 12:45:05 +0100
From: "DERZSI Kft." <_derzsi@matavnet.hu>
To: thernesz@turmix.hu
Subject: Re:
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
^Erről a fenti címről nem tudok semmit.
ˇA lenti eset pedig nem is olyan régen jött.
Status: U
Return-Path: <>
Received: from brutus.emitel.hu ([192.168.1.1]) by nero.emitel.hu
(Netscape Messaging Server 3.6) with ESMTP id AAA70FC
for ; Mon, 10 Sep 2001 15:53:39 +0200
Received: from localhost (localhost)
by brutus.emitel.hu (8.9.1/8.9.1) with internal id PAB06838;
Mon, 10 Sep 2001 15:53:37 +0200 (MET DST)
Date: Mon, 10 Sep 2001 15:53:37 +0200 (MET DST)
From: Mail Delivery Subsystem Message-Id: <200109101353.PAB06838@brutus.emitel.hu>
To:
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="PAB06838.1000130017/brutus.emitel.hu"
Content-Transfer-Encoding: 8bit
Subject: Postmaster warning: pasari@emitel.hu>... Unbalanced '>'
Auto-Submitted: auto-generated (postmaster-warning)
Elnézést azoktól, akiknek már a könyökén jön ki, de had' hívjam fel ismételten mindazok figyelmét, akik még NEM frissítették IE5.01 vagy IE5.5 böngészőjüket, hogy mielőbb tegyék meg azt. A legújabb Badtrans.B-fertőzés (az ANTSZ szavaival :-) kezd országos méreteket ölteni...
Kedves oszibá, ezt a sületlenséget légy oly jó, és ne terjeszd!
"48 órán belül egy új vírus kerül a forgalomba, amit a MICROSOFT éppen most
tett közzé."
Arról most nem beszélek, hogy ezt a szerencsétlen mondatot úgy is lehet értelmezni, hogy a vírust maga a Microsoft fogja két nap múlva közzétenni, ami viccnek sem túl jó. Az, hogy az egész levél badarság, az ebből a mondatból többszörösen kiderül.
1. A Microsoft soha nem tesz közzé vírusinformációt.
2. Ha a vírus még nem "került forgalomba", akkor a Microsoft honnan tudja, hogy jön?
Ez a levél maga a vírus, úgy hívják, BUTASÁG vagy JÓLÉRTESÜLTSÉGGELVILLOGNIAKARÁS.
Légy szíves, ne vedd magadra, de naponta három ilyet kapok és már meglehetősen ideges vagyok attól, hogy mindig elmondjam ugyanazt: így nem segítesz senkin. Tessék vírusirtót telepíteni, azt rendszeresen frissíteni, ismeretlentől érkezett csatolt fájlokat olvasatlanul törölni...
-----Eredeti üzenet-----
Feladó: UNIPLAN [SMTP:center@uniplan.hu]
Küldve: 2001.november.26. 10:19
Címzett: FEHÉR EMIL; lcsoti@uniplan.hu; Hegedus Gabriella; Vegh Viola
Tárgy: Fw: Ez most komoly! Vírusveszély
Fontosság: Sürgős
** High Priority **
Subject: Ez most komoly! Vírusveszély
48 órán belül egy új vírus kerül a forgalomba, amit a MICROSOFT éppen most
tett közzé.
Ha e-mailt kapsz valakitol, lehet ismeretlen vagyismeros is,
aminek a tárgya HELP, ne nyisd meg, rá se menj egérrel, ne
próbáld meg
letörölni, mert ezek az egyszeru dolgok beindítják a vírus muködését! 48 órát kell várni, és csak azután lehet letörölni. Ha elobb próbálod, a vírus automatikusan muködésbe lép és letörli az összes adatot a merev lemezrol,
az operációs rendszerhez pedig nem enged hozzáférni! NAGYON
FONTOS
mindenkinek továbbítani az üzenetet akinek meg van az e-mail címetek!
Időközben 250 fölött van a belépési kísérlet. Még pingel is valaki :-))) (más címről)
Most már elég vegyes a kinduló IP…
Mi van itt ma? Máskor naponta 10-12 próbálkozás..
