Szabo Gabor ----- Original Message ----- From: <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Thursday, September 18, 2003 5:36 PM Subject: [virusriado] Vírus Riadó hírlevél - 2003. szeptember 18., csütörtök
> Vírus Riadó hírlevél - 2003. szeptember 18., csütörtök > > Tisztelt Hölgyem/Uram! > > Ön VÍRUS RIADÓ hírlevelünket olvassa. > > A Vírus Híradó szerkesztősége jogszerűen használja és továbbítja az > F-Secure Corp. a Kaspersky Labs Inc., a Trend Micro és a Virus Bulletin > által kiadott híranyagokat. Kérjük - a hitelesség érdekében - a híranyagok > továbbítása illetve közzététele esetén szíveskedjék feltüntetni a > hírforrásként a Vírus Híradót. www.virushirado.hu > > Téma: I-worm.Swen: szépen kidolgozott féreg terjed > [Riasztási fokozata: 1-es (közepes).] > > ------------------------------------------------------------------- > > A Dumaru féregváltozatok terjedéséről szóló szeptember elején megjelent > cikkünkben felhívtuk ügyfeleink figyelmét a káros kódot hordozó levelek > felismerésének lehetőségére. Sajnos az ott szereplő három jótanács, > javaslat közül már talán csak egy vagy kettő állja meg a helyét, mivel: > > Megjelent és szabadon terjed egy "szépen kidolgozott" féreg, amely > I-worm.Swen nevet kapott az antivírus cégektől. A kód elemzése alapján a > vírusvédelmi kutatók úgy vélik, szerzője ugyanaz a hacker lehet, aki a > Gibe vírust is útjára indította. A két kártevő közti időben biztosan > szépírástant tanult, ugyanis a grafikát, formázást és web-hivatkozásokat > is tartalmazó, HTML formátumú elektronikus levélben érkező féreg körítése > meglepően emlékeztet a Microsoft weblapok szín- és formavilágára. > > A levél kódja olyan exploit-ot tartalmaz, amelynek segítségével a férget > tartalmazó, 106kB-os fájlmelléklet automatikusan lefuthat a sebezhető > rendszereken. A Swen még IRC-n és a Kazaa fájlcserélő hálózaton keresztül > is képes terjedni. > > A Swen férget tartalmazó levél szövege a következő: > Feladó: változó > (MS Technical Assistance, Microsoft Internet Security Section, MS > Services) > > Tárgy: gyakran vagy minden esetben hiányzik > > Melléklet: Q591362.exe (változó is lehet) > > Levéltörzs: Microsoft Partner > > this is the latest version of security update, the "September 2003, > Cumulative Patch" update which eliminates all known security > vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook > Express as well as three newly discovered vulnerabilities. Install now to > continue keeping your computer secure. This update includes the > functionality of all previously released patches. > > System requirements Windows 95/98/Me/2000/NT/XP > > This update applies to MS Internet Explorer, version 4.01 and later > MS Outlook, version 8.00 and later > MS Outlook Express, version 4.01 and later > Recommendation: Customers should install the patch at the earliest > opportunity. > How to install: Run attached file. Choose Yes on displayed dialog box. > How to use: You don't need to do anything after installing this item. > > Microsoft Product Support Services and Knowledge Base articles can > be found on the Microsoft Technical Support web site. For security-related > information about Microsoft products, please visit the Microsoft Security > Advisor web site, or Contact Us. > > Thank you for using Microsoft products. > > Please do not reply to this message. It was sent from an unmonitored > e-mail address and we are unable to respond to any replies. > ----------------------------------------------- > The names of the actual companies and products mentioned herein are > the trademarks of their respective owners. > > Contact Us | Legal | TRUSTe > (c) 2003 Microsoft Corporation. All rights reserved. > Terms of Use | Privacy Statement | Accessibility" > > > A számítógépet használóknak azt tanácsoljuk, hogy ne dőljenek be az > egyébként igényes kivitelezű levélnek; tartsák szem előtt, hogy a > Windows-hoz készített valódi javítások, többek között a sokféle nyelvi > változat létezése miatt is, kizárólag a gyártó saját webhelyéről > kiválasztva érhetők el. Ha tehát levélben ajánlanak ilyesmit, gyanakodni > kell! > > Ha a Swen féreg lefut, elsőként a Windows mappájába másolja magát > MLMHP.EXE-hez hasonló, véletlenszerűen változó néven és létrehozza a fájl > automatikus futtatásához szükséges registry értéket: > [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] > "" = ".exe /autorun" > > Ezután a féreg egy párbeszédablakot jelenít meg, amelyben a "biztonsági > javítás" telepítésének engedélyezését kéri. Persze a Swen a felhasználó > igen vagy nem válaszától függetlenül; akár rejtve, akár nyíltan, de > feltepül a fertőzött gépre. > > Ezek után létrehoz egy batch fájlt, amely a fertőzött gép nevét viseli és > tartalma: @ECHO OFF IF NOT "%1"=="" féregfájlnév.exe %1 > > A féreg ezután a SWEN1.DAT fájlba kicsomagolja a saját kódjában tárolt, > SMTP levelezőszerverek nevét tartalmazó listát. > > A féreg a Windows Registry segítségével magához rendeli bizonyos > fájltípusok végrehajtását (BAT, SCR, EXE, REG és PIF): > [HKCU\exefile\shell\open\command] > [HKCU\regfile\shell\open\command] > [HKCU\scrfile\shell\open\command] > [HKCU\piffile\shell\open\command] > [HKCU\batfile\shell\open\command] > > Ha ilyen fájlokat próbálnak futtatni egy fertőzött gépen, a féreg veszi át > a vezérlést. > > A Swen saját védelme érdekében letiltja a registry módosítására alkalmas > felhasználói programok futását, stílszerűen egy registry kulcs > beállításával: > [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] > "DisableRegistryTools" = dword:00000001 > > Ezért "registry-buheráló" futtatásakor csak egy hibaüzenet jelenik meg: > "Memory access violation in module Kernel32 8962:43568691" > > Egy további registry-ágban, a > [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer] alatt a féreg > információkat tárol az SMTP kiszolgálókra, a felhasználó e-mail címére, a > mIRC liens mappájának helyére, a fertőzött exe és zip fájlok nevére, stb. > vonatkozóan. > > A továbbterjedés előkészítéseként a Swen féreg beállíja az esetleg a gépen > található Kazaa kliens megosztás szolgáltatását és több példányban a > Kazaa-n keresztül felajánlott anyagok közé másolja magát. Az .exe vagy > .zip kiterjesztésű fájlneveket az alábbi készletekből véletlenszerűen > választva generálja: > > Kazaa Lite, KaZaA media desktop, KaZaA, WinRar, WinZip, Winamp, > Mirc, Download Accelerator, GetRight FTP, Windows Media Player, key > generator, hack, hacked, warez, upload, installer Bugbear, Yaha, Gibe, > Sircam, Sobig, Klez, remover, removal tool, cleaner, fixtool AOL hacker, > Yahoo hacker, Hotmail hacker, 10.000 Serials, Jenna Jameson, HardPorn, > Sex, XboX Emulator, Emulator PS2, XP update, XXX Video, Sick Joke, XXX > pictures, My naked sister, Hallucinogenic Screensaver, Cooking with > Cannabis, Magic Mushrooms Growing, Virus Generator > > A mIRC kliensben a Swen féreg a SCRIPT.INI állományt cseréli ki egy olyan > parancsra, amely féregpéldányokat küld minden olyan csevegőcsatornába, > amelyhez a fertőzött gép felhasználója csatlakozik. > > Megjegyzés: A Microsoft által az Internet Explorer webböngészőhöz > kiadott legújabb valódi javítás az MS03-032-es számot viseli és a > letöltendő fájlok a nyelv kiválasztása után innen érhető el: > > http://www.microsoft.com/windows/ie/downloads/critical/822925/download.asp > A javítás technikai részleteiről -magyar nyelven- innen tájékozódhatnak: > > http://support.microsoft.com/default.aspx?scid=kb;hu;822925 > > Ezen javítás telepítését minden Internet-használónak ajánljuk, hiszen a > hibák befoltozásával védelmet nyújthat az olyan OutLook Express és > Internet Explorer programokat érintő sebezhetőségék ellen, amelyeket a > vírusírók gyakran felhasználnak a káros kód automatikus lefuttatására. > > > ------------------------------------------------------------------- > > VÍRUS RIADÓ hírlevelet abban az esetben küldünk, amennyiben egy veszélyes > fertőzés indult el, vagy egy vírus széles körű elterjedése várható. > > Üdvözlettel: > > Kádár Attila > Vírus Híradó Szerkesztőség > 2F 2000 Kft. > > Cím: 1016 Budapest, Hegyalja út 5. > E-mail: mailto:[EMAIL PROTECTED] > www.virushirado.hu > > A Vírus Híradó és a Vírus Riadó hírlevél listáinkra való fel- és > leiratkozást ezen az oldalon találja: > http://www.virushirado.hu/virh-hirlevel.php > > Figyelem! > Ne felejtse, hogy az általunk küldött hírlevelek sosem tartalmaznak > csatolt file-okat, és mindig Text/Plain (egyszerű szöveges) formában > küldjük ki. Amennyiben mégis találkozna másféle hírlevéllel, értesítsen > minket az [EMAIL PROTECTED] címen. > > > _______________________________________________ Akta mailing list [EMAIL PROTECTED] http://openforum.hu/mailman/listinfo/akta
