זהירות: וירוס חדש מתפשט במהירות

אם לא הופצו די וירוסים ותולעים בשבוע האחרון, גירסה חדשה של הווירוס Sobig מתפשטת בקצב מהיר בשעות האחרונות, ובכלל זה בישראל. מדובר בווירוס Sobig.F, שבדומה לקודמיו ובניגוד לתולעי המחשבים האחרונות, מופץ בדואר האלקטרוני או דרך רשתות מקומיות בלבד. חברות האנטי וירוס המובילות עדכנו את קובצי החתימה שלהן והתוכנות שלהן כעת מגינות מפני הווירוס החדש. רוב החברות קבעו רמת סיכון גבוהה ל-Sobig.F, ומדווחות כי קצב התפשטותו מהיר, אם כי ההרס שהוא עשוי לגרום אינו רב. על פי Messagelabs הבריטית, מערכות הסריקה של החברה עצרו אתמול (ג') יותר מ-100,000 עותקים של הווירוס.

וירוס פופולרי

Sobig הוא אחד הווירוסים היותר "פופולריים" בחודשים האחרונים. הגירסה הראשונה הופצה בחודש ינואר ואותרה, לרוב, בקלות, מאחר שכל ההודעות נשלחו, כביכול, מכתובת דואר אלקטרוני זהה: big@boss.com. הווירוס Sobig-E הופיע בחודש יוני וניסה לחטוף מחשבים במטרה להשתמש בהם כדי לשלוח דואר זבל למחשבים אחרים. חברות האנטי וירוס סבורות כי כותב הווירוסים מצוי בקשר הדוק עם מפיצי דואר זבל וייתכן שהוא זבלן בעצמו.

הגירסה האחרונה של הווירוס התחזתה לכתובת הדואר האלקטרוני של יו"ר מיקרוסופט, ביל גייטס. הווירוס החדש מתוחכם יותר מכל קודמיו ועשוי להשתמש בכתובת דואר מזויפת כדי לשלוח עצמו, כך שהנמענים יסברו כי השולח הוא אחד ממכריהם ויטעו לבטוח בו ולפתוח את ההודעה.

אפשר לזהות בקלות

עם זאת, אפשר לזהות את Sobig.F בקלות יחסית בשל מאפייניו הקבועים. כותרת ההודעה היא אחת הבאות:

Re: Thank you!

Thank you!

Your details

Re: Details

Re: Re: My details

Re: Approved

Re: Your application

Re: Wicked screensaver

Re: That movie

Please see the attached file for details.

document_all.pif

thank_you.pif

your_details.pif

details.pif document_9446.pif

application.pif

wicked_scr.scr

movie0045.pif

יש להדגיש, כי הווירוס מדביק את המחשב רק עם פתיחת הקובץ המצורף להודעה. עם הפתיחה, הווירוס סורק את המחשב בחיפוש אחר כתובות דואר אלקטרוני בקבצים עם הסיומות .txt, .htm, .wab, .dbx ו-.eml ומשתמש במנוע SMTP מובנה כדי לשלוח עצמו לכל כתובת דואר אלקטרוני שהוא מוצא במחשב, תוך התחזות לאחת הכתובות האלה.

כמו כן, הווירוס מעתיק עצמו למחשב הנגוע תחת השם winppr32.exe ומוסיף כמה מפתחות למערכת הרישום של Windows על מנת לפעול עם כל הפעלה מחדש של המחשב. הווירוס יכול גם להוריד קבצים מהאינטרנט למחשב, ועשוי לפתוח כמה יציאות תקשורת במחשב. נראה כי גם Sobig.F אינו סוף פסוק לשושלת Sobig, מאחר שהגירסה האחרונה מתוכנתת להפסיק לפעול ב-10 בספטמבר, וככל הנראה תוחלף בווירוס "משוכלל" יותר.

איך מתגוננים?

כדי להתגונן מפני הווירוס, מומלץ לעדכן את תוכנת האנטי וירוס ולהפעיל את תכונת הסריקה. כדאי לעדכן את תוכנת האנטי וירוס ולהפעילה. בעקבות הכמות הרבה של המחשבים הנדבקים בווירוס החדש ממליצות חברות האנטי וירוס להתייחס בזהירות לכל הודעה עם קובץ מצורף. מומלץ לא לפתוח קבצים מצורפים שנשלחו משולחים בלתי מוכרים לנמען. ניתן להשתמש בשירותי הבדיקה המקוונים המשולבים באתרים של חברות האנטי וירוס שקישורים אליהם מצורפים מימין לכתבה.