Connect with us

technokrata

Szabaduljunk meg a hét féregvírusától!

Dotkom

Szabaduljunk meg a hét féregvírusától!

Cikkünkben a dömpingszerűen ömlő Sobig féreg F variánsának lelkivilágáról, illetve a fertőzött rendszerek megtisztításáról közlünk információkat.

A fertőzött e-mail jellemzői

Feladó: ezt a féreg meghamisítja, így igen gyakran valójában nem onnan érkezik a fertőzött levél, mint amit annak feladósora mutat
Tárgy: a következő listából választ egyet véletlenszerűen:
. Re: Details
. Re: Approved
. Re: Re: My details
. Re: Thank you!
. Re: That movie
. Re: Wicked screensaver
. Re: Your application
. Thank you!
. Your details
Tartalom: kétféle üzenettel lehet találkozni:
. See the attached file for details
. Please see the attached file for details.
Csatolmány: a következők egyike:
. your_document.pif
. document_all.pif
. thank_you.pif
. your_details.pif
. details.pif
. document_9446.pif
. application.pif
. wicked_scr.scr
. movie0045.pif

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 18.
Utolsó frissítés ideje: 2003. augusztus 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 72.000 byte
Fertőzések száma: több mint 1000
Földrajzi elterjedtsége: magas
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

A szokásostól eltérően itt most nem térünk ki a féreg működésének részletes elemzésére, hanem elsősorban annak rendszerből való eltávolítására koncentrálunk. Annyit azért érdemes tudni a Sobig ezen változatáról, hogy különböző file-okban (adatbázis állományokban, help file-okban, HTML-ekben és TEXT állományokban) kutat e-mailcímek után, ahova saját SMTP-motorja révén továbbítja magát. Szerkesztőségünk a mai nap folyamán több száz ilyen levelet kapott (csak a szerző egymaga ezen cikk írása alatt tizenegy darabot), így ebből és a visszajelzésekből következtetve a magyar internetezők egy meglehetősen széles rétegét érinti a probléma.

Védekezés

Nem győzzük eléggé hangsúlyozni, hogy egy víruskereső alkalmazás telepítése még nem oldja meg a problémákat, azok adatbázisait folyamatosan frissen kell tartani. Szerencsére – vagy inkább az elmúlt évek tapasztalatainak leszűrése folytán – mára szinte mindegyik komolyabb vírusvédelmi eszköz rendelkezik egy bizonyos fokig automatizált frissítési mechanizmussal. Azon a számítógépekről, ahol ezen feltételek nem adottak, vagy valamilyen más módszerrel fertőződtek meg, előbb-utóbb (de inkább előbb) el kell távolítani a kártevőt. Ezt segítendő több antivírus szoftvereket fejlesztő cég is kiadott egy Sobig eltávolító eszközt, mi a Symantec alkalmazását ajánljuk erre a feladatra.

Megjegyzés: a Sobig F variánsa éppen pont nem ilyen, de egyre több digitális kártevő használ a rendszerben megbúvó biztonsági réseket, hiányosságokat, tehát nem árt ez ügyben sem a gyakori frissítés.

Eltávolítás

A felesleges bonyolítást elkerülendő W32.Sobig.F@mm Removal Tool névre keresztelt eszköz először is leállítja a féreg futó process-eit, majd letörli a kártevő rendszerben megtalálható állományait. Ezt követően azon file-okat is letörli, melyeket már a feltelepült féreg hozott létre – végül pedig kiirtja a Registry-ből is a fertőzés nyomait.

Nézzük lépésről-lépésre, mit kell tenni a Sobig F variánsának eltüntetéséhez!

1. töltsük le a FixSbigF.exe állományt
2. aki kellően paranoiddá vált a fertőzést követően, ellenőrizze le a letöltött állomány digitális aláírását
3. zárjunk be minden futó programot
4. amennyiben LAN-ra vagy Internetre van csatlakoztatva a megtisztítandó számítógép, szakítsuk meg a kapcsolatot a ˝külvilággal˝
5. Windows Me vagy XP alatt tiltsuk le a System Restore funkciót
6. indítsuk el a letöltött állományt, majd engedélyezzük az eszköz futását (ha ennek során arról tájékoztat a program, hogy egy vagy több állományt nem képes eltávolítani, akkor Safe módban próbáljuk újra a procedúrát)
7. amennyiben végzett az alkalmazás, indítsuk újra a számítógépet
8. futtassuk le ismét az eltávolító eszközt, hogy meggyőződhessünk róla: féregmentes lett a számítógép
9. ha korábban letiltottuk a System Restore funkciót, akkor azt most engedélyezzük, majd frissítsük víruskereső szoftverünket



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek