Uaktualnienie: Zaatakował wirus pocztowy 'I Love You'

Wirus, stworzony prawdopodobnie na Filipinach, wywołał już prawdziwą epidemię. Związane z "miłosnym listem" problemy zgłaszają firmy, instytucje i osoby prywatne z całego świata.

W Internecie pojawił się wirus pocztowy "I Love You", który zaatakował już wiele firm w Azji, Europie i Stanach Zjednoczonych. Jego ofiarą padł nawet brytyjski parlament, w którym zainfekowane zostały komputery zarówno Izby Gmin, jak i Izby Lordów. Eksperci porównują rozmiar ataku "I Love You" do epidemii wywołanej w zeszłym roku przez wirus Melissa.

Wirus rozprzestrzenia się w postali listu elektronicznego z tematem "ILOVEYOU". W treści zawiera tekst "kindly check the attached LOVELETTER coming from me". Do listu dołączony jest też załącznik LOVE-LETTER-FOR-YOU.TXT.vbs, będący skryptem napisanym w Visual Basicu.

Gdy użytkownik uruchomi załącznik, wirus automatycznie rozsyła się pod wszystkie adresy z jego książki adresowej programu Microsoft Outlook. Dla porównania - Melissa rozsyłała się tylko pod pierwsze 50 adresów. "I Love You" umieszcza w katalogu systemowym Windows pliki MSKernel32.vbs i LOVE-LETTER-FOR-YOU.TXT.vbs, w katalogu Windows plik Win32DLL.vbs, WinFAT32.exe i WINBUGSFIX.exe w katalogu plików pobranych z Internetu, a plik script.ini w katalogu mIRC.

Uruchomienie załącznika przez pracownika w firmie oznacza lawinę zarażonych listów i prowadzi do przeciążenia serwerów pocztowych - ostrzegają firmy zajmujące się ochroną antywirusową. Ich przedstawiciele dodają też, że wirus nadpisuje pliki graficzne i muzyczne, wykorzystujące rozszerzenia .jpg, .jpeg, .mp3, .mp2.

Kolejnym zagrożeniem jest ukryty w wirusie tzw. koń trojański, który wysyła przechowywane w Windows hasła użytkownika na filipiński adres e-mail. Eksperci ostrzegają, że złośliwy program potrafi także przechwytywać hasła wykorzystywane przez domowych użytkowników do internetowych połączeń dial-up. Specjaliści z Microsoftu potwierdzili, że wirus zmienia ustawienia strony domowej w Internet Explorerze, na taką, po której otworzeniu uaktywniany jest program służący do kradzieży plików z hasłami. Twierdzą jednak, że pobierane pliki z hasłami są szyfrowane i w związku z tym ich utrata nie stanowi prawdziwego zagrożenia dla użytkowników.

F-Secure, fiński specjalista od systemów antywirusowych, odkrył, że wirus został stworzony przez filipińskiego hakera posługującego się pseudonimem Spyder. W programie odkryto też zapis "Copyright 2000, GRAMMERSoft Group, Manila, Phil.". Inni eksperci podejrzewają jednak, że zapis ten może służyć ukryciu prawdziwego pochodzenia wirusa.

Specjaliści radzą natychmiastowe usunięcie podejrzanego listu ze skrzynki z przychodzącą pocztą, jak również z folderu, w którym przechowywane są usunięte listy. Przestrzegają przed uruchamianiem załączników. Firmom zalecają takie skonfigurowanie serwerów pocztowych, aby nie przepuszczały listów z załącznikami będącymi skryptami Visual Basica. Jak zwykle, polecają też uaktualnienie programów antywirusowych, a w związku z podejrzeniem o przechwytywanie haseł, po przeprowadzeniu diagnostyki antywirusowej, nakazują ich zmianę.

Dosyć szybko pojawiły się także różne wariacje "miłosnego" wirusa. Jedną z nich jest "VeryFunny.vbs", zawierający w linii tematu "fwd: Joke", który zaatakował kilka amerykańskich firm.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200