|
"* * * �j
vesz�lyes Yaha v�ltozat jelent meg: Yaha.M * * *
2002. december 31-�n a Yaha/Lentin v�rus csal�db�l �jabb v�ltozatot �szleltek: Yaha.M N�vv�ltozatok: Yaha.K, W32/Lentin.H@mm, I-Worm.Lentin.h, Yaha.K!e2a2 Ez a vari�ns �gyan�gy lev�lben terjed, mint t�rsai, vagyis hamis felad�c�mmel ell�tott email-ben v�letlenszer�en v�lasztja ki a k�ld�tt lev�l t�rgy�t, sz�veg�t �s a csatolt �llom�ny nev�t. Fert�z�s: Ha a fert�z�tt f�jlt lefuttatj�k, elindul a fert�z�si rutin. Ekkor a f�reg telep�ti mag�t a Windows system k�nyvt�rba "tcpsvs32.exe", "nav32_loader.exe" �s "WinServices.exe" neveken �s l�trehoz olyan registry kulcsokat, amellyel saj�t mag�t minden rendszerind�t�skor lefuttatja: A f�reg emellett m�dos�tja az .EXE �llom�nyok futtat�s�ra vonatkoz� be�ll�t�sokat is, kereszt�l l�ncolva �nmag�n. Emiatt ha csak sim�n let�rlik a fert�z�tt "nav32_loader.exe"-t, akkor semmilyen .EXE nem fog futni a tov�bbiakban. Ezenk�v�l m�g sz�mos m�don igyekszik biztos�tani a saj�t m�k�d�s�t, friss�tve a saj�t registry bejegyz�seit, �s folyamatosan visszam�solva a fert�z�shez sz�ks�ges �llom�nyait. A k�rtev� v�rus ellenes �s t�zfalprogramokat keres a g�pen, �s megpr�b�lja azok fut�s�t le�ll�tani. A f�reg e-mail c�mek ut�n kutat a Windows Address Book-ban, a NET �s MSN Messenger cache k�nyv�raiban, valamint a Yahoo Messenger profile k�nyvt�raiban. Majd elk�ldi mag�t az �sszes tal�lt e-mail c�mre, v�letlenszer� t�rgyat, lev�lsz�veget �s mell�klet nevet v�lasztva. Meg kell jegyezni, hogy n�h�ny esetben nem is l�tszik a lev�lsz�veg. A f�reg meghamis�tja a k�ld� nev�t �s e-mail c�m�t, behelyettes�tve azokat a f�reg test�ben elk�dolt adatokkal. Ezek k�z�l sz�mos olyan is van, amelyik l�tez�, igazi c�gek �s mag�nemberek e-mail c�mei. A f�reg �nhatalm�lag m�dos�thatja az Internet Explorer be�ll�tott kezd�lapj�t is. Ezenfel�l a f�reg k�dja megval�s�t egy DoS (Denial of Service) t�pus� h�l�zati t�mad�st is, az infopak.gov.pk webserver ellen. Mentes�t�s: A f�reg mentes�t�s�hez nem el�g az eml�tett 3 �llom�nyt let�r�lni, hanem a regisztr�ci�s adatb�zisban is sz�ks�ges a bejegyz�sek m�dos�t�sa, ehhez az al�bbi seg�deszk�z haszn�lhat�: ftp://ftp.europe.f-secure.com/anti-virus/tools/yaha_fix.reg R�szletes v�rusle�r�s a k�vetkez� linken tal�lhat�: http://www.virushirado.hu/virh-virusleir.php?oid=268435517 * * * Simon Vallor beismerte a Gokar v�rus �r�s�t * * * A "Gokar", "Redesi" �s "Admirer" neveken elh�res�lt sz�m�t�g�pes v�rus csaknem vezeti azokat a statisztik�kat, melyek a v�rusokat puszt�t� hat�suk szerint rangsorolj�k. A "Gokar" el�sz�r m�lt �v december�ben jelent meg, mostanra t�bb, mint 40 orsz�gban legkevesebb 27 ezer sz�m�t�g�pben okozott k�rt. �sszhangban azzal az egyre er�sebb tendenci�val, hogy a hackerek �s v�rus�r�k ellen mind t�bb b�nv�di elj�r�st ind�tanak, a "Gokar" v�rus megalkot�ja, a 22 �ves Wales-i, Llandudno v�rosban sz�letett Simon Vallor is a b�r�s�gon tal�lta mag�t. A v�rus email-ben terjedt; mikor a k�rtev�t tartalmaz� �zenetet valaki megnyitja, az email-en kereszt�l tov�bbk�ldi �nmag�t az �sszes email c�mre, amit az �ldozat sz�m�t�g�p�n a c�mlist�ban tal�l. B�n�ss�g�t elismerve Mr. Vallor rem�li, hogy egy�ttm�k�d�s�vel egy kedvez�bb �t�let kiszab�s�t �rheti el, annak ellen�re, hogy nincsenek ill�zi�i tett�nek s�lyoss�g�val kapcsolatban. A tulajdon�ban l�v� elektronikus �js�gban �gy nyilatkozott: "Rem�lhet�leg �vad�k ellen�ben ism�t szabadl�bra helyeznek, hogy j�v�re megjelenhessek a b�r�s�g el�tt. Term�szetesen a felf�ggesztett b�ntet�sben rem�nykedem, de �gy gondolom, hogy ez t�l nagy k�r�s a r�szemr�l." Az �t�let kihirdet�s�nek id�pontj�t m�g nem t�zt�k ki." SZG |
