Új MSBlast: "gyógyító" féregvírus

[smallimage 1 left] Az MSBlast W32.Welchia, W32/Nachi és Worm_MSBlast.D néven emlegetett változata hétfőn jelent meg az interneten, és valami egészen furcsát tesz az általa megfertőzött géppel.
Megszünteti a biztonsági rést, majd a gép „meggyógyítása" után letörli magát.

Az új MSBlast a Windows 2000 és Windows XP rendszereket futtató gépekre letölti a hiba javítását a Microsoft weboldaláról, majd nyugalomba helyezi magát, és az első 2004-ben történt bekapcsoláskor automatikusan letörli magát a merevlemezről. A vírusirtó cégek szakértői nincsenek túl jó véleménnyel a munkájukat elvevő jótékony vírusról. Szerintük a féregvírus az féregvírus, és később csak bajt okozhatnak az ilyen kis programok. Ezt az álláspontot azzal támasztják alá, hogy a vírus mégiscsak nem szándékolt adatforgalmat bonyolít az interneten, ám ez aligha győzi meg a vírustól korábban megfertőzött gépek gazdáit, hiszen annak egyik legújabb változata többek között éppen az internet-hozzáférés állandó megszakadását okozza.

Az AVERT, a Network Associates vírusszakértői csoportja mind a vállalati, mind az otthoni felhasználók számára gyakorisága miatt rögtön a „közepes" veszélyességi kategóriába sorolta Win32/Nachi féregvírust.

A felhasználók a hálózatban megnövekedett ICMP forgalomból vehetik észre a fertőzést (a PING parancs az ICMP egyik legismertebb használója). A féreg DLLHOST.EXE néven installálja magát a C:\WINNT\SYSTEM32\WINS könyvtárba, a file hossza 10.240 byte. A file hossza azért különösen fontos, mert a Windowsban egyébként is létezik egy teljesen normális rendszerfájl DLLHOST.EXE néven, azonban szemben a 12 kilobájtos féreggel, a normális file hossza mintegy 5-6 kilobájt.

További információk a Win32/Nachi féregről a http://vil.nai.com/vil/content/v_100559.htm címen találhatók.

Az augusztus 18-án felfedezett Win32/Nachi vírust a McAfee 4286-os DAT fájlok és a 4.1.60-as keresőmotor már felismeri és kezeli. A legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a
http://www.mcafeeb2b.com/naicommon/download/dats/find.asp címen.

További információ az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp
 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció