Több biztonsági cég is figyelemfelhívó közleményt adott ki az Imsolk.B vagy más néven VBMania nevű féreg nagyon gyors terjedése miatt. A Symantec és a McAfee is megerősítette, hogy több nagyvállalatnál okozott kisebb nagyobb fennakadásokat a kártékony program, elsősorban azáltal, hogy túlterhelte a levelezőrendszereket. "A kártevő hasonlít a 2000-ben, illetve a 2001-ben terjedő ILoveYou és Anna Kournikova férgekhez. Úgy látszik, hogy az elektronikus levelekben tömegesen terjedő férgek újjászületésének lehetünk szemtanúi" - mondta David Cowings, a Symantec Security Response biztonsági vezetője.
Az Imsolk.B féreg olyan levelekben terjed, amelyek tárgya a "Here you have" vagy a "Just for you" kifejezéseket tartalmazza. Az üzenetekben pedig egy hivatkozás is megtalálható, amely első ránézésre egy PDF-fájl letöltését teszi lehetővé. A valóságban azonban, amikor erre a felhasználó rákattint, akkor egy scr kiterjesztésű állomány töltődik le a számítógépére. Amennyiben ezt elindítja, akkor a féreg akadálytalanul képes elvégezni a számára kijelölt feladatokat. Az Imsolk jelenlegi variánsa elsősorban a terjedésre koncentrál, ugyanakkor rengeteg módosítást végez a fertőzött rendszereken. Többek között megpróbálja hatástalanítani a védelmi alkalmazásokat, majd az interneten keresztül különféle állományokat kezd el letölteni. Fontos megemlíteni, hogy a kártékony program az e-maileken kívül hálózati megosztásokon és cserélhető adattárolókon keresztül is képes terjedni. Ezekben az esetekben arról is gondoskodik, hogy a meghajtók újbóli csatlakoztatásakor automatikusan, minél kevesebb felhasználó közreműködéssel tudjon betöltődni.
Az ABC News információi szerint a gyorsan terjedő féreg már a NASA, a Comcast, az AIG, a Disney és a Procter & Gamble informatikai rendszereit is célba vette. E cégek egyes hálózataiban érezhető lassulás következett be. További károkról eddig nem érkeztek információk.
A biztonsági cégek, illetve a hatóságok jelenleg is vizsgálják, hogy honnan származhat a kártékony program. "A féreg kódja sok tekintetben hasonlít egy olyan kártevőére, amely a múlt hónapban jelent meg, és amely egy líbiai hekkerhez köthető, aki az iraki ellenállás nevében tevékenykedik" - vélik a SecureWorks kutatói. Ha ez igaz, akkor az a kérdés is felmerül, hogy augusztusban a féreg előző variánsa miért nem volt képes ilyen széles körben terjeszkedni, és mi vezetett ahhoz, hogy a "B" változata ilyen gyorsan szaporodik. Erre a kérdésre azonban a szakemberek még keresik a választ.
Az Isidor Biztonsági Központ jelentése szerint, amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windir%csrss.exe
%Windir%systemupdates.exe
2. Kitörli az összes exe kiterjesztésű fájlt az alábbi könyvtárakból (amennyiben azok léteznek)
C:Program FilesUSB Disk Security
D:Program FilesUSB Disk Security
3. Módosítja a következő állományt:
%UserProfile%Application DataMicrosoftOutlookOutlook.pst
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = "Explorer.exe C:WINDOWScsrss.exe"
5. A regisztrációs adatbázis alábbi kulcsához számos új bejegyzést fűz hozzá:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
6. Módosítja a regisztrációs adatbázis alábbi értékeit:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"EnableLUA" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"PromptOnSecureDesktop" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"EnableVirtualization" = "0"
7. Leállítja, és eltávolítja azokat a szolgáltatásokat, amelyek nevében szerepelnek a következő szavak, kifejezések:
0053591272669638mcinstcleanup
AntiVirFirewallService
AntiVirMailGuard
AntiVirSchedulerService
AntiVirService
AntiVirWebService
Arrakis3
aswUpdSv
Avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
AVG Security Toolbar Service
avg9wd
Avgfws9
AVGIDSAgent
Gwmsrv
LIVESRV
Mc0DS
Mc0obeSv
McAfee SiteAdvisor Service
McMPFSvc
mcmscsvc
McNaiAnn
McNASvc
McProxy
McShield
mfefire
mfevtp
MSK80Service
MpsSvc
NIS
Panda Software Controller
PAVFNSVR
PavPrSrv
PAVSRV
PSHost
PSIMSVC
PskSvcRetail
scan
sdAuxService
sdCoreService
SfCtlCom
TMBMServer
TmPlw
TmProxy
TPSrv
VSSERV
WinD
efend
wscsvc
wuauserv
8. Leállítja az alábbi folyamatokat:
CPE17AntiAutoruna.exe
outlook.exe
Usbguard.exe
9. members.multimania.co.uk domain alatt működő weboldalakról kártékony fájlokat tölt le. Ezeket az állományokat az alábbiak szerint menti le:
%Windir%ff.exe
%Windir%gc.exe
%Windir%ie.exe
%Windir%im.exe
%Windir%op.exe
%Windir%pspv.exe
%Windir%rd.exe
%Windir%tryme1.exe
%System%SendEmail.dll
10. Az interneten keresztül letölt egy olyan állományt, amellyel lecseréli a Windows hosts állományát.
11. A Microsoft Outlook Address Book és a Yahoo! Messenger azonnali üzenetküldő címjegyzékében szereplő összes e-mail címre továbbítja a saját állományát.
A fertőzött levelek tárgya lehet:
Here you have
Just for you
A fertőzött levelek üzenete:
"Hello! This is The Document I told you about,you can find it Here.
[URL]
Please check it and reply as soon as possible.
Enjoy Your Time.
Cheers,"
vagy
"This is The Free Dowload Sex Movies,you can find it Here.
[URL]"
12. A fertőzött számítógép munkacsoportjában található rendszerek hálózati megosztásaira felmásol .scr kiterjesztésű fájlokat.
13. Megpróbál cserélhető meghajtókon keresztül terjedni. Az adattárolókra a következő két állományt másolja fel:
%meghajtó betűjele%open.exe
%meghajtó betűjele%autorun.inf
A hír a Computerworld biztonság rovatában jelent meg.
