GYIK: Mennyire kártékony a Kama Sutra?

Habár ez a fertőzés nem olyan széleskörben elterjedt, mint a 2005-ös Windowst támadó fertőzések legtöbbje, mégis sokkal több felhasználó figyelmét vonta magára. Ennek az az oka, hogy ez még azon fertőzések közül való, amikor a vírusíróknak még nem az volt a célja, hogy olyan kódokat írjanak, melyek idegesítik a felhasználót, hanem olyat, mely adatot pusztít.

Honnan jött a fertőzés?
Senki sem tudja. Akárhogy is, ez nem egy újfajta típus. A jelenlegi variáns annak a családnak a tagja, amelynek története 2004 márciusára nyúlik vissza, amikor is a Nyxem.a fertőzés DoS (denial-of-service: szolgáltatás-leállítási támadás) támadást indított a New York Mercantile Exhange weboldal ellen.

Mennyire komoly valójában ez a fertőzés?
Biztonsági szakemberek általában egyetértenek azzal, hogy ez sem a Sober, sem a Zotob és nem is MSBlast változata. A veszélyességi rangsorolásuk is ezt mutatja. Például a Symantec 1-től 5-ig terjedő skáláján (ahol az 5-ös a legveszélyesebb) 2-est kapott, és erről a minősítésről azóta el sem mozdult. Az F-Secure, mely 1-től 4-ig tartó skálázást használ, szintén 2-est adott; valamint a Microsoft “Mérsékelten veszélyes”-nek minősítette háromszintes skáláján.

Hogyan hívják ezt a fertőzést?
Jó kérdés. Néhány listára hagyatkozva, több mint két tucat “beceneve” van. A legelterjedtebbek a Kama Sutra, Blackworm, Blackmal, MyWife és a Nyxem.

Mit fog a fertőzés okozni?
A fertőzés Microsoft Office dokumentumok (.doc, .xls, .mdb, .mde, .ppt, .pps), Adobe dokumentumok (.pdf, .psd), valamint népszerű tömörített formátumok (.zip, .rar) és .dmp fájlok teljes egészét fogja teleírni a következő típusú sorokkal: “DATA Error [47 0F 94 93 F4 F5]”, ezzel teljesen használhatatlanná téve őket. E típusú fájlok után fog kutatni az összes csatlakoztatott meghajtón, beleértve hálózati meghajtókat, USB-alapú flash meghajtókat és külső meghajtókat is.

Hatástalanítja a legnépszerűbb biztonsági programokat — Computer Associates, Kaspersky, McAfee, Panda, Symantec, Trend Micro –, így a felhasználók nem lesznek képesek eltávolítani, ha már egyszer feljutott a számítógépükre.

Mikor kezdi elpusztítani a fájlokat?
A fertőzés kódjából megszerzett információk alapján minden hónap harmadik napján (helyi idő szerint) indítja a fájlok felülírását. Tehát a legelső aktiválódási nap éppen a mai nap (február 3., péntek). A fertőzés a számítógép órájára hagyatkozva aktiválódik — nem úgy, mint más fertőzések, melyek szinkronizálnak időkiszolgálókkal –. (A Helsinki bázisú F-Secure jelentése szerint jelentést kaptak felhasználóktól — helytelenül beállított PC idővel –, miszerint fájljaik fölül lettek írva.)

Mennyi gép lett megfertőződve?
Világszerte körülbelül 300 ezer számítógép. Ezt az értéket egy web-alapú számláló mérte, amely mindig akkor aktiválódott, amikor egy PC-t megtámadott a fertőzés. De valószínűleg ez az érték manipulálva lett az eredeti fertőzés alkotója, vagy egy másik hacker által.

Mit tehetnek a felhasználók, hogy megvédjék magukat?
A legtöbb biztonsági szervezet az alapvető javaslatokat tette: használjunk antivírus szoftvert, és a vírusleírásait tartsuk naprakész állapotban. A Microsoft a következőket javasolja: ne nyissunk meg e-mailhez csatolt állományokat (ezen a módon terjed a fertőzés), valamint a Windowsba ne a Rendszergazda fiókkal lépjünk be.

Azok, akik nem rendelkeznek antivírus szoftverrel, vagy a gépük már fertőzött — emlékezzünk, a fertőzés hatástalanítja a legtöbb biztonsági szoftvert –, le tudnak futtatni egy ingyenes programot, — melyet a biztonsági cégek töltöttek fel az Internetre –, és ezzel sikeresen eltávolíthatják ezt a fertőzést.

Letöltés: Blackmal eltávolító eszköz [ 168 KB | Symantec ]