Új MSBlast: "gyógyító" féregvírus
2003. augusztus 18.
[smallimage 1 left] Az MSBlast W32.Welchia, W32/Nachi és Worm_MSBlast.D néven emlegetett változata hétfőn jelent meg az interneten, és valami egészen furcsát tesz az általa megfertőzött géppel.
Megszünteti a biztonsági rést, majd a gép „meggyógyítása" után letörli magát. Az új MSBlast a Windows 2000 és Windows XP rendszereket futtató gépekre letölti a hiba javítását a Microsoft weboldaláról, majd nyugalomba helyezi magát, és az első 2004-ben történt bekapcsoláskor automatikusan letörli magát a merevlemezről. A vírusirtó cégek szakértői nincsenek túl jó véleménnyel a munkájukat elvevő jótékony vírusról. Szerintük a féregvírus az féregvírus, és később csak bajt okozhatnak az ilyen kis programok. Ezt az álláspontot azzal támasztják alá, hogy a vírus mégiscsak nem szándékolt adatforgalmat bonyolít az interneten, ám ez aligha győzi meg a vírustól korábban megfertőzött gépek gazdáit, hiszen annak egyik legújabb változata többek között éppen az internet-hozzáférés állandó megszakadását okozza.
Az AVERT, a Network Associates vírusszakértői csoportja mind a vállalati, mind az otthoni felhasználók számára gyakorisága miatt rögtön a „közepes" veszélyességi kategóriába sorolta Win32/Nachi féregvírust.
A felhasználók a hálózatban megnövekedett ICMP forgalomból vehetik észre a fertőzést (a PING parancs az ICMP egyik legismertebb használója). A féreg DLLHOST.EXE néven installálja magát a C:\WINNT\SYSTEM32\WINS könyvtárba, a file hossza 10.240 byte. A file hossza azért különösen fontos, mert a Windowsban egyébként is létezik egy teljesen normális rendszerfájl DLLHOST.EXE néven, azonban szemben a 12 kilobájtos féreggel, a normális file hossza mintegy 5-6 kilobájt.
További információk a Win32/Nachi féregről a http://vil.nai.com/vil/content/v_100559.htm címen találhatók.
Az augusztus 18-án felfedezett Win32/Nachi vírust a McAfee 4286-os DAT fájlok és a 4.1.60-as keresőmotor már felismeri és kezeli. A legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a
http://www.mcafeeb2b.com/naicommon/download/dats/find.asp címen.
További információ az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp
A felhasználók a hálózatban megnövekedett ICMP forgalomból vehetik észre a fertőzést (a PING parancs az ICMP egyik legismertebb használója). A féreg DLLHOST.EXE néven installálja magát a C:\WINNT\SYSTEM32\WINS könyvtárba, a file hossza 10.240 byte. A file hossza azért különösen fontos, mert a Windowsban egyébként is létezik egy teljesen normális rendszerfájl DLLHOST.EXE néven, azonban szemben a 12 kilobájtos féreggel, a normális file hossza mintegy 5-6 kilobájt.
További információk a Win32/Nachi féregről a http://vil.nai.com/vil/content/v_100559.htm címen találhatók.
Az augusztus 18-án felfedezett Win32/Nachi vírust a McAfee 4286-os DAT fájlok és a 4.1.60-as keresőmotor már felismeri és kezeli. A legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a
http://www.mcafeeb2b.com/naicommon/download/dats/find.asp címen.
További információ az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp
Kapcsolódó cikkek
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Óriási kockázatnak lesznek kitéve a Vista-felhasználók?
- Piacon a Microsoft antivírus szoftver
- Idő előtt kiadták a WMF Windows hiba javítását
- McAfee: Új, központilag irányított és ellenőrzött védelem spam-ek és vírusok ellen
- Új McAfee WebShield Appliance tartalommenedzsment megoldás
- Microsoft-javítások meglétét ellenőrzi a McAfee ePolicy Orchestrator új komponense
- A Microsoft oldala állta a MyDoom támadását
- Minden idők legfertőzőbb vírusa a Mydoom@MM
- McAfee védelem MS Exchange 2003 kiszolgálókhoz