Figyelem! Outlook-frissítésnek álcázott vírus terjed! Legyünk nagyon óvatosak!

Egy új, veszélyes, JavaScriptben írt féreg magát a Microsoft Outlook levelezőkliens firssítésének álcázva próbál beférkőzni az óvatlan felhasználók számítógépeire.

Noha a Gigger (js.gigger.a@mm, méret: 17 KB) féreg JavaScriptben íródott, nem az interneten, hanem e-mailben (az Outlook címlista összes tagjának továbbítja magát), illetve a mIRC csevegőprogramot használva képes terjedni, valamint a helyi hálózaton lévő gépekre is átmásolja magát, ha erre lehetősége van.

Ha a féreg felkerült a Windows operációs rendszert futtató számítógépre, a Windows Scripting Hostot használva az első újraindítás után formatálja a merevlemezt.

A levél, amelyben a Gigger érkezik, általában az ”Outlook Express Update” tárgyat viseli, esetleg a címzett e-mail címét tartalmazza, míg a levél szövege a következő: ”MSNSofware Co.” vagy ”Microsoft Outlook 98”. A csatolt állomány neve minden esetben ”mmsn_offline.htm”.
(Ha a féreg mIRCen érkezik, az alábbi helyre pakolja magát: /Windows/Start Menu/Programs/StartUp/Msoe.hta.)

Ha a felhasználó megnyitja ezt az állományt, a Gigger az alábbi állományokat hozza létre a gyökérkönyvtárban: Bla.hta, B.htm

Ezenkívül elhelyezi az alábbi file-okat is:

/Windows/Samples/Wsh/Charts.js
/Windows/Samples/Wsh/Charts.vbs
/Windows/Help/Mmsn_offline.htm

Beírja magát a rendszerleíró adatbázisba (Registry) is:

HKEY_CURRENT_USER/Software/Microsoft/Windows/Scripting/Host/Settings/Timeout
HKEY_CURRENT_USER/Software/TheGrave/adUsersv2.0
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

Végezetül beleírja az autoexec.bat file-ba az ”ECHO y|format c:” parancsot, ezáltal a következő indításkor leformázza a merevlemezt.

A Microsoft közlése szerint a Giggerrel szemben nincsenek biztonságban azok a felhasználók sem, akik telepítették a Microsoft Outlook 2000 és 2002 biztonsági frissítéseit, mivel ezek nem blokkolják a csatolt HTM file-okat – hiszen az gyakorlatilag lehetetlenné tenné a levelezést.

Ugyanakkor, ha a felhasználó kikapcsolja a Windows Scripting Hostot, a vírus nem képes aktivizálni magát a számítógépen. Ezt a következőképpen lehet megtenni: Menjünk a Start menü/Beállítások/Vezérlőpult/Programok Hozzáadása/Windows Telepítő/Kellékek menüpontba, majd itt keressük meg a Windows Scripting Hostot, és a neve mellől távolítsuk el a pipát.

További információk a Symantec weboldalán.