Szybki Goner

Producenci oprogramowania do ochrony sieci ostrzegają, że wirus Goner (W32.Goner.A@mm) zaczął rozprzestrzeniać się z szybkością podobną do tej, jaka cechowała wirusa Love Letter. Wirus otwiera "tylne wejście" dla hakera.

Producenci oprogramowania do ochrony sieci ostrzegają, że wirus Goner (W32.Goner.A@mm) zaczął rozprzestrzeniać się z szybkością podobną do tej, jaka cechowała wirusa Love Letter. Wirus otwiera "tylne wejście" dla hakera.

Goner przybiera postać "wygaszacza ekranu" przesyłanego w postaci załącznika do poczty elektronicznej. Po otwarciu takiego pliku przez odbiorcę przesyłki wirus zostaje uaktywniony i wyszukuje lokalnie zainstalowane pakiety antywirusowe lub osobiste zapory ogniowe. Następnie podejmuje próbę usunięcia wszystkich plików z katalogu, w którym zainstalowane jest takie oprogramowanie.

Zobacz również:

  • Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Tylnym wejściem jest skrypt mIRC, który pozostawia system otwarty dla hakerów znających adres IP zainfekowanej maszyny. Goner dołącza informacje do pliku script.ini, który jest używany przez program mIRC. Dołączona informacja wskazuje na nowy plik o nazwie remote32.ini, który został zaprojektowany z intencją przeprowadzania ataków DoS wyprowadzanych w kierunku innych klientów mIRC. Na szczęście kod ten nie pracuje zgodnie z założeniami. Także szansa na to, że haker odszuka adres IP zainfekowanej maszyny, jest niewielka.

Goner rozprzestrzenia się sam za pośrednictwem poczty elektronicznej, wykorzystując adresy zawarte w książce adresowej Outlook zainfekowanej maszyny oraz prawdopodobnie przez aplikacje IRC i ICQ.

Zainfekowana poczta zawiera w wierszu Temat tekst: "hi", oraz załącznik o nazwie "gone.scr".

Właściwy tekst wiadomości brzmi:

"How are you?

When I saw this screensaver, I immediately thought about you.

I am in a hurry, I promise you will love it!"

Główni dostawcy produktów antywirusowych: CA, Mcafee, Symantec i Sophos, udostępnili już uzupełnienia definicji pozwalające na wykrycie tego wirusa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200