Společnost Trend Micro vydala varování před středně velkým rizikem plynoucím z červa „WORM_SOBER.S“
Nová varianta červa se do počítačů dostává mailem s falešnou nabídkou volných vstupenek na světový fotbalový šampionát 2006
2. květen 2005 — Společnost Trend Micro vydala varování před středně velkým rizikem plynoucím z výskytu nové varianty červa Sober, která se hromadně šíří prostřednictvím SMTP mailů. Využívá přitom prvky sociálního inženýrství – k otevření přílohy obsahující škodlivý kód například láká falešnou nabídkou volných vstupenek na světový fotbalový šampionát 2006 v Německu. WORM_SOBER.S se vyskytl v Německu a ve Spojených státech v němčině a angličtině.
Podobně jako předchozí varianty se i WORM_SOBER.S šíří hromadným rozesíláním prostřednictvím vlastního SMTP enginu, přičemž shromažďuje adresy nových příjemců z každého nakaženého počítače. Vyhýbá se přitom adresám z určitých domén, zejména těch, které patří společnostem zabývajícím se vývojem antivirových programů a bezpečnostních řešení.
WORM_SOBER.S se do schránek dostává s rozmanitými subjekty, těly zpráv a názvy příloh. Adresa odesílatele může vypadat jako:
- Admin
- Hostmaster
- Info
- Webmaster
Přílohy nesou jména jako:
- PassWort-Info.zip
- account_info-text.zip
- autoemail-text.zip
Jedna z variant červa se tváří jako oficiální mail od Světové asociace fotbalových federací FIFA s textem: „Gratulujeme k výhře volných vstupenek“ a je doprovázena přílohou „Fifa_Info-Text.zip“. Pokud příjemce uvěří, že opravdu vyhrál vysoce žádané lístky na mistrovství světa, a přílohu otevře, objeví se chybové hlášení a spustí se škodlivý program.
„Toto je vynikající ukázka sociálního inženýrství – výherní soutěže jsou velmi populární po celém světě a dokonce uživatelé, kteří jsou dostatečně opatrní, aby takový mail považovali za podvrh, mohou zariskovat a kliknout na přílohu v naději, že opravdu získali volné vstupenky,“ poznamenal Jamz Yaneza, virový expert TrendLabs. „Člověk si tak začne hodně špatnou hru.“
Poté, co WORM_SOBER.S infikuje systém, umístí do něj několik souborů a upraví registry Windows tak, aby se spustil při každém spuštění počítače.
WORM_SOBER.S je umístěn v souboru o velikosti zhruba 53 KB a může být ve formátu UPX. Může ohrozit operační systémy Windows 98, ME, NT, 2000 a XP.
Zákazníci společnosti Trend Micro budou proti červu chráněni, pokud si stáhnou poslední aktualizaci protivirové ochrany č. 2.611.00. Zákazníci Outbreak Prevention Services by si měli stáhnout aktualizaci OPP 171 (nebo pozdější). Pro zákazníky Damage Cleanup Services je připravena aktualizace # 588, která automaticky zajistí odstranění červa z nakažených systémů. Uživatelé Network VirusWall mohou použít soubor se vzorkem 10222.
Ostatní uživatelé by měli využít antivirový online skener Housecall společnosti Trend Micro, který je dostupný na adrese http://housecall.trendmicro.com/.
Více informací naleznete na http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AZ
O společnosti TREND MICRO
Společnost TREND MICRO je přední světovou firmou v oblasti síťových antivirových řešení, softwaru a služeb pro zabezpečení internetového obsahu. Firma sídlí v Tokiu, své evropské ústředí má v Marlow v Anglii a obchodní zastoupení po celém světě. Produkty TREND MICRO jsou nabízeny prostřednictvím distribuční sítě dealerů poskytujících služby s přidanou hodnotou a sítě poskytovatelů řízených služeb. Další informace ohledně společnosti TREND MICRO a zkušební verze produktů lze nalézt na adrese: http://www.trendmicro-europe.com
Trend Micro, logo t-ball, Control Manager, GateLock a OfficeScan jsou obchodní známky a registrované obchodní známky společnosti Trend Micro Incorporated. NetScreen a NetScreen logo jsou ve Spojených Státech a dalších zemích obchodní známky společnosti NetScreen Technologies, Inc. Všechna ostatní jména společností a produktů mohou být obchodními známkami a registrovanými obchodními známkami příslušných vlastníků.
Pro další informace laskavě kontaktujte:
Tamara Smolová
Agentura CREO, spol.s.r.o.
tel.: + 420 602 217 194
e-mail: tamara.smolova@creo.cz