Connect with us

technokrata

Az antivírus-gyártókat heccelik a vírusírók

Dotkom

Az antivírus-gyártókat heccelik a vírusírók

A legújabb Win32/Sober.X trójai vírus kódja gúnyos megjegyzésekkel illeti az antivírus-gyártókat.

A víruskészítők egyre gyakrabban próbálják meg kihasználni az antivírus-gyártó cégek szakemberei számára elfoglaltságot jelentő eseményeket – figyelmeztet az ESET Software. Októberben a Sober.R a dublini Virus Bulletin konferencia alatt bukkant fel, most pedig a Win32/Sober.X készítői indítottak útnak egy nagyobb fertőzéshullámot, miközben a vírusvadászok Washingtonban és Kína több városában képezték magukat.

Az antivírus-gyártókra gunyoros megjegyzéseket tartalmazó kóddal titkosított kórokozót a NOD32 antivírus rendszer fejlett heurisztikus elemző képességének köszönhetően proaktívan, emberi beavatkozás nélkül megállította. Andrew Lee, az ESET technológiai igazgatója az eseményekkel kapcsolatban figyelmeztet arra, hogy az úgynevezett nulladik napi fenyegetések ellen – azaz az olyan fertőzésekkel szemben, melyekre még nem létezik ellenszer – csak a heurisztikus technológia jelent védelmet. „A mai kórokozók szerzőit már nem a bizonyítási vágy vezérli, hanem anyagi ösztönzők hajtják. A fertőzések számának emelkedése nehéz helyzetbe hozza a hagyományos reaktív elveken működő biztonságtechnikai termékek gyártóit, akik először gyorsan visszafejtik a kórokozót, majd csak ezt követően adják ki az ellenszert.” – állítja a szakember, aki szerint egyre nagyobb technológiai előnyre tesznek szert a fejlett heurisztikát alkalmazó antivírus megoldások gyártói. A szakember szavait alátámasztja a VirusTotal.com statisztikája, mely szerint a NOD32 a legutóbbi 16 nulladik napi fenyegetés 88%-át proaktívan ismerte fel.

A most megjelent Win32/Sober.X féreg két Visual Basic nyelven írt végrehajtható fájlból áll. Az egyik ezek közül egy trójai program, ami feltehetően más kórokozók elhelyezésének megkönnyítésére szolgál, a másik pedig fertőzött e-mailek tömeges kiküldését végzi. Ez utóbbi „Your email” „Haben Sie diese EMail verschickt?” tárggyal rendelkező elektronikus leveleket küld, csatolmányként a trójai program .zip formátumú tömörített változatával. Amennyiben a felhasználó megnyitja a trójai programot, az a végrehajtás után rögtön törli önmagát és egy hamis hibaüzenetet jelenít meg. Ezalatt a trójai néhány üres fájlt helyez el a rendszerkönyvtárban, ami lehetővé teszi, hogy a kórokozó minden rendszerindításkor lefusson. Végül a trójai e-mail címek után kutatva végigfésüli a felhasználó számítógépét, annak érdekében, hogy későbbi terjedését előkészítse.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek