Windows-os biztonsági réseket kihasználva terjed egy új trójai

Napjainkban a vírusírókat egyre inkább az anyagi haszonszerzés motiválja, ezért kártevőiket úgy alkotják meg, hogy azok képesek legyenek tömeges spam küldésre, webszerverek elleni szervezett (DoS, DDoS) támadásokra és más illegális tevékenység végrehajtására. A megfertőzött zombi számítógépeket és az ezekből álló úgynevezett botnet hálózatokat távolról irányítva, saját anyagi céljaikra használják fel.

A tegnap felbukkant Trojan.Opnis.Z is ebbe a csoportba tartozik. A fertőzött levél szövege angol nyelvű és minden esetben futtatható mellékletet tartalmaz – rendszerint megtévesztő névvel és kiterjesztéssel: „Good Day, Server Report, hello, picture, Status, test, Error, Mail Delivery System, Mail Transaction Failed˝. A levél törzsében az alábbi szövegek jelennek meg:
˝Mail transaction failed. Partial message is available˝
˝The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment˝
˝The message contains Unicode characters and has been sentas a binary attachment.˝

A melléklet állományok elnevezése a ˝body, data, doc, docs, document, file, message, readme, test, text˝ listából keletkeznek, a fájlkiterjesztések pedig az alábbiak lehetnek: ˝.log, .elm, .msg, .txt, .dat˝, valamint további, második extra kiterjesztés ˝.bat, .cmd, .scr, .exe, .pif˝ néven szerepel. Futás közben különböző bejegyzéseket is elhelyez a rendszerleíró (Registry) adatbázisban.

Gyanús jel lehet, ha a látszólag magától megnyílik a Jegyzettömb alkalmazás (Notepad) és annak ablakában zagyva karakterek jelennek meg. Továbbterjedéséhez e-mail címek után kutat a fertőzött gép állományaiban.

A Trojan.Opnis.Z készítője egy hátsó ajtó (backdoor) segítségével távolról – HTTP csatornán keresztül – átveheti a vezérlést a fertőzött rendszer felett, ezáltal tetszése szerint programokat futtathat, megváltoztathat, törölhet, akár onnan el is lophat, illetve a gépet felhasználhatja webszerverek elleni támadáshoz is (DoS, DDoS) – mindezt a felhasználó jóváhagyása és legcsekélyebb tudomása nélkül. A legfrissebb változat, a Trojan.Opnis.Z augusztus 23-án, a délutáni órákban került a VirusBuster látóterébe. Időközben már megjelent két újabb variáns is (Opnis.AA es Opnis.AB)

„Fontos tudnivaló, hogy e-mail üzenetben érkező mellékleteket – különösen, ha az ismeretlen feladótól érkezett – soha ne nyissunk meg, ne futtassuk. A kéretlen levélszemét – spam – legnagyobb veszélye éppen abban van, hogy hordozzák a különböző kártevőket, a törléssel, levélválogatással töltött bosszankodás csak elhanyagolható kár ehhez a veszélyhez képest.˝ – figyelmeztet Szappanos Gábor a magyar vállalat vezető vírusszakértője.

A trójai eltávolítása a fertőzött program törlésével lehetséges. A VirusBuster programok a 2006.08.23-án kibocsátott 8.1296 illetve 9.031.7 adatállományokkal már sikeresen képesek felismerni a legfrissebb Trojan.Opnis.Z változatot is.