וירוסים חדשים משתוללים

חברות אנטי וירוס מזהירות מפני וירוס בשם Badtrans שמתפשט ברשת במהירות בשעות האחרונות.
הווירוס, שנתגלה שלשום (שבת), שולח עצמו בדואר האלקטרוני, וגם מתקין במחשב הנגוע תוכנה טרויאנית ששולפת מידע ושולחת אותו לאינטרנט.
הווירוס, גירסה חדשה של וירוס בשם דומה שנתגלה לפני כמה חודשים, מופעל כאשר המשתמש פותח את הקובץ הנגוע שמצורף בדואר האלקטרוני. עם הפעלתו, קובץ ההפעלה העיקרי, PE EXE, מסוג תולעת, מתקין עצמו לתיקיית Windows ונוסף על כך מתקין את הסוס הטרויאני בתיקיית המערכת של Windows. הווירוס מעתיק עצמו למערכת הרישום ולקובצי ההפעלה של Windows, כדי שיפעל אוטומטית עם כל הפעלה של Windows.
עם סיום התקנת הווירוס במחשב תוצג ההודעה המזויפת "Install error" (ראו בתמונה מימין).
בפעם הבאה שהמשתמש מפעיל את Windows, הווירוס ניגש לתיבת הדואר הנכנס של אאוטלוק, ו"עונה" לכל ההודעות שלא נקראו תוך שהוא מצרף את עצמו למכתבי התשובה. לאחר ששלח את ההודעות, הווירוס ממשיך לפעול ועונה על כל הודעה חדשה שמתקבלת במערכת.
כתוצאה מכך, הווירוס ממשיך לענות להודעות המתקבלות ללא סוף. ווירוס זה עשוי להעמיס מאוד על שרתי דואר ולהביא לקריסתם, בשל העומס על המערכת.
במקביל, הסוס הטרויאני שולח את כתובת ה-IP של המחשב הנגוע ומידע נוסף כמו סיסמאות אישיות לכתובת הדואר האלקטרוני ld8dl1@mailandnews.com.
הודעת הווירוס כוללת טקסט אליו מצורפים שני קבצים, ששמותיהם נבחרים אקראית מבין השמות הבאים:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
כותרת ההודעה היא כמו ההודעה המקורית בתוספת התחילת :RE, כך שגם תגובה על מכתב ששלחתם לחבר לפני שעות אחדות עשויה להיות וירוס. למשל, אם ההודעה המקורית כוללת את שורת הנושא "כמה שאלות", כותרת המכתב שכולל את הווירוס תהיה "כמה שאלות :RE".
גוף הטקסט עשוי לכלול את הטקסט שהיה בהודעה המקורית ובסופו המשפט: Take a look to the attachment.
חברת האנטי וירוס "סימנטק" העניקה ל Badtrans.B דרגת סיכון של 3 מתוך 5 וציינה כי רמת הסיכון של וירוס זה נמוכה, אם כי שיעור ההפצה שלו גבוה.

ועוד אחד

במקביל, הווירוס Win32.Aliz (שמות נוספים: W95/Aliz.a, Peace) מתפשט במהירות בימים האחרונים. וירוס זה, מסוג תולעת, מופץ בהודעות דואר אלקטרוני ומופעל אוטומטית, גם כאשר הגולש קורא את ההודעה בלבד ולא מקליק על הקובץ המצורף.
כותרת ההודעה כוללת כמה חלקים:
תחילית של Fw: או Fw: Re:
אחת מן המלים הבאות:
Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many
ואחת מן המלים הבאות:
website
site
pics
urls
pictures
stuff
mp3s
shit
music
info
וכן אחת מן המלים הבאות:
to check
for you
i found
to see
here
- check it
וגם אחד מן הבאים:
!!
!
:-)
?!
hehe ;-)
למשל, כותרת ההודעה עשויה להיות "Nice website to check hehe ;-)". שם הקובץ המצורף הוא Whatever.exe.
עם הפעלתו, הווירוס לא מתקין עצמו במחשב אלא רק שולח עצמו לכל הגולשים בפנקס הכתובת של Windows ולאחר מכן חדל לפעול.

כך תתגוננו

כדי להתגונן מפני שני הווירוסים האלה מומלץ לעדכן את תוכנת הווירוס שברשותכם ולהפעילה. לחילופין, כדאי לבצע בדיקת וירוסים מקוונת באחר מאתרי חברות האנטי וירוס.
כדי להתגונן מפני Badtrans.B, סימנטק ממליצה לארגונים לחסום כל קבלה בדואר האלקטרוני של קבצים המסתיימים בסיומות .scr או .pif.

כל הקישורים נמצאים בצד ימין