Robak, który dzwoni
- Daniel Cieślak,
- 08.01.2003, godz. 11:26
Symantec poinformował o wykryciu nowego, groźnego robaka pocztowego rozprzestrzeniającego się w postaci załącznika do e-maila o Avril Lavigne lub fałszywego patcha do produktu Microsoftu. W32.Lirva.A potrafi sam się aktywować, może też łączyć się z Internetem, korzystając z połączenia dial-up.
Robak zwykle pojawia się w postaci załącznika do e-maila o jednym z poniższych tytułów:
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Treść takiej wiadomości zawierała będzie informacje, sugerujące, iż załącznik jest programem, gwarantującym dostęp do zasobów poświęconych wokalistce Avril Lavigne lub też patchem, usuwającym groźny błąd w jednym z produktów Microsoftu. Jednak nawet jeśli użytkownik nie da się zwieść treści wiadomości i nie uruchomi załącznika, W32.Lirva.A może się uaktywnić - robak wykorzystuje znany już od dawna błąd w zabezpieczeniach przeglądarki Internet Explorer, który sprawia, iż niektóre załączniki uruchamiają się automatycznie.
Pierwszym etapem działania "insekta" jest wyłączenie wszelkiego aktywnego oprogramowania zabezpieczającego - czyli aplikacji antywirusowych oraz firewalli. Następnie rozpoczyna od masowe rozsyłanie swoich kopii - dystrybuuje się za pośrednictwem programów: Outlook, ICQ, KaZaA, sieci IRC oraz w sieci lokalnej.
Zobacz również:
7, 11 i 25 dnia każdego miesiąca uaktywnia się dodatkowa funkcja robaka - będzie on otwierał przeglądarkę internetową i łączył się ze stroną www.avril-lavigne.com. Jeśli w danej chwili nie będzie aktywne żadne połączenie z Internetem, robak uaktywni połączenie dial-up.
Aby usunąć W32.Lirva.A, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego, przeprowadzić kompleksowe skanowanie systemu i usunąć wszystkie kopie robaka.
Patcha, usuwającego omówiony wyżej błąd w Internet Explorerze, można znaleźć tutaj:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp