Dotkom
A MYTOB féregcsalád hazánkban is rohamosan terjed
A Trend Micro közepes szintű riasztást tart fent a MYTOB féreg legújabb variánsai miatt – a legutóbbi 2 változatot, WORM_MYTOB.BI-t és a WORM_MYTOB.AR-t számos országban, köztük hazánkban is észlelték.
Az elmúlt 2 hónapban – 2005. februári 26-i megjelenése óta – a MYTOB féreg több mint 100 variánsát azonosította a Trend Micro globális vírusvédelmi kutató és támogató központja, a TrendLabs. A Vírushiradó mai statisztikái alapján Magyarországon az elmúlt 7 napban a MYTOB-nak 39-féle variánsa bukkant fel és okozott károkat, összesen 588.037 fertőzést eredményezve a freemailes levelezőrendszerben. Ez az elmúlt 7 napban történt támadások közel 30%-át teszi ki, a teljes fertőzött állomány 2 millió e-mailt tartalmaz.
A MYTOB terjedési módja
A korábbi változatokhoz hasonlóan ez a memóriarezidens féreg is úgy terjed, hogy e-mail üzenetekben csatolt fájlként másolatokat küld önmagáról a címzetteknek saját SMTP (Simple Mail Transfer Protocol) motorján keresztül. Elindítása után a féreg letölt egy kémprogramot, amely reklámokat helyez el az áldozatok számítógépein. A féreg hátsó ajtók megnyitására is képes, és egy beépített Internet Relay Chat (IRC) bottal rendelkezik, ami lehetővé teszi számára, hogy csatlakozzon egy megadott IRC szerverre.
A terjedéshez felhasznált taktikák
A klasszikus – a felhasználók hiszékenységét kihasználó taktikákat alkalmazva a MYTOB az adott e-mail postafiókra vonatkozó fontos üzenetként tünteti fel magát – mintha az üzenetet egy rendszergazda küldené. A féreg számos különböző témájú és szövegtörzsű levélben érkezhet. Azt kéri, hogy a felhasználó reagáljon a levélre, ha el kívánja kerülni postafiókjának letiltását vagy megszüntetését.
A Trend Micro szakértőjének javaslata a védekezésre
„Nem ez az első alkalom, hogy ilyen, a felhasználói hiszékenységre alapozó taktikákat látunk a rosszindulatú kódok készítőitől, és már korábban is szerepeltek hírességek nevei a kártékony alkalmazásokban. Ugyanakkor a hátsó ajtó képességekkel együtt alkalmazott kémprogramok és reklámok egyre növekvő száma már aggasztóbb, mivel ezek az alkalmazások lehetővé teszik a támadó számára, hogy becsapják áldozatukat. A Trend Micro javasolja a rendszergazdáknak, hogy tiltsák le a nem feltétlenül szükséges fájlkiterjesztések használatát, például az .exe, .pif és .scr fájlokét, a végfelhasználóknak pedig azt, hogy ne nyissák meg a gyanús e-maileket és csatolt állományokat, valamint biztosítsák, hogy a vírusvédelmi mintafájlok mindig naprakészek legyenek.” – nyilatkozta David Kopp, a TrendLabs EMEA vezetője.
A Trend Micro ügyfelei védettek e fenyegetés ellen a legutóbbi 2.653.00 számú mintafájl használata esetén. Az Outbreak Prevention Services ügyfelek az OPP 177 (vagy újabb) fertőzésmegelőzési házirend letöltésével védekezhetnek e fenyegetés terjedése ellen. A Damage Cleanup Services-t (Kárelhárítási Szolgáltatások) igénybe vevő ügyfelek a 622. számú sablonfájl letöltésével könnyíthetik meg az érintett rendszerek automatikus helyreállítását.
