Az első féreg által terjesztett spyware

A spyware-ek eddig csak különböző weboldalakról kerülhettek a felhasználó gépére, a WORM_WURMARK.J féreg megjelenése óta azonban emailen keresztül is a gépünkre juthatnak.

A Trend Micro a mai napon egy közepes szintű riasztást adott ki az emailen terjedő, memória-rezidens WORM_WURMARK.J féreg kapcsán. A féreg úgy terjed, hogy bemásolja saját magát a Windows rendszer egyik könyvtárába, találomra kiválasztott fájnevet használva.

Érdekessége, hogy szintén egy véletlenszerűen kiválasztott elnevezésű (Dynamic Link Library) DLL fájlt is elhelyez a Windows rendszer egyik mappájában – ez a fájl egy IESpy nevű kémprogram egy komponense. Ez az első alkalom, hogy egy kereskedelmi spyware programot tartalmazó férget azonosítottak.

A WORM_WURMARK.J képes a leütött karakterek naplózására: elmenti a felhasználó által begépelt karaktereket egy véletlenszerűen elnevezett DLL fájlba. A WURMARK továbbá ZIP kiterjesztéssel olyan fájlokat ment a Windows rendszermappájába, amelyek a kártevőt tartalmazzák.

A fertőzött email tárgya különböző lehet, a “details”, “girls” “music” és “readme” szavak gyakran előfordulnak benne. Alapszintű megtévesztési technológiák alkalmazásával a féreg könnyen ráveheti a felhasználót a különböző zip fájlok megnyitására, mint például a “love.zip”, “image.zip” és “screensaver.zip”, a levél üzenet része azonban mindig üres.

A WORM_WURMARK.J terjedését eddig Franciaországban, Indiában, Szingapúrban és Taiwanon észlelték.

“A WURMARK módszere, hogy rosszindulatú támadása során felhasználja a már ismert spyware-t, szintén az integrált védelmi megoldások szükségességét jelzi – mind az üzleti, mind az egyéni felhasználók számára” – nyilatkozta David Kopp, az EMEA régió TrendLabs vezetője. “Ez a különleges féreg egy igazán alapszintű megtévesztési trükköt használ, és még az üzenet része is üres. A felhasználóknak, akik még ezek után is megnyitják a fájlt és ezzel megfertőzik gépeiket, valóban magasabb szintű tudatosságra lenne szükségük az emailek megnyitásakor”- tette hozzá Kopp.

A Trend Micro ügyfelei védettek e fenyegetés ellen a 2.625.00. számú vagy újabb mintafájl használata esetén. Az Outbreak Prevention Services ügyfelek az OPP 174 (vagy újabb) fertőzésmegelőzési házirend letöltésével védekezhetnek e fenyegetés terjedése ellen. A Damage Cleanup Services–t (Kárelhárítási Szolgáltatásokat) igénylő ügyfelek az 596-os számú sablonfájl letöltésével könnyíthetik meg az érintett rendszerek automatikus helyreállítását.