וירוס חדש מתחזה לעדכון אבטחה של מיקרוסופט
חברות האנטי וירוס מזהירות מפני הווירוס "סוון", שמתפשט במהירות מאז אתמול באמצעות הדואר האלקטרוני, רשתות שיתוף קבצים וה-IRC
חברות האנטי וירוס מזהירות מפני וירוס חדש שהחל להתפשט אתמול במהירות באמצעות הדואר האלקטרוני, רשתות שיתוף קבצים, רשת ה-IRC ורשתות מקומיות.
הווירוס, ששמו "סוון" (Swen) או Gibe.F, מתחזה לעדכון אבטחה של חברת מיקרוסופט אך למעשה מנסה לנטרל את תוכנות האבטחה הפועלות במחשב. כל הגרסאות של מערכת ההפעלה Windows עשויות להיות חשופות לפגיעה של הווירוס החדש.
הווירוס מנצל פירצה בת שנתיים בדפדפן אינטרנט אקספלורר ופוגע במערכות בהן לא הותקן טלאי אבטחה נגד פירצת אבטחה זו, על פי חברת "מקאפי". כתובת השולח המזויפת מזוהה עם מיקרוסופט, למשל, MS Technical Assistance. הווירוס עלול לפעול אוטומטית גם אם המשתמש לא פתח אותו אם לא עודכנו במערכת עדכוני האבטחה הנדרשים.
הקוד הזדוני של הווירוס מצורף כקובץ להודעת דואר אלקטרוני המתחזה לעדכון אבטחה שמטרתו לתקן, כביכול, פירצות אבטחה באינטרנט אקספלורר, אאוטלוק ואאוטלוק אקספרס. להודעת הווירוס מצורפים לחצנים של "כן" ו"לא" המיועדים לעודד את המשתמש לבחור בהתקנת "העדכון". הווירוס אף כולל פס התקדמות המודיע על מצב ההתקנה. הווירוס יתקין עצמו לאחר פתיחתו גם אם המשתמש יבחר ב"לא".
עופר אלזם, מומחה אבטחה בכיר בחברת "אלדין" מציין כי מגוון שיטות הפצה של הווירוס וההנדסה החברתית המשופרת שלו, בזכותה "סוון" עשוי לשכנע את המשתמשים כי מדובר בהודעה ממיקרוסופט, הופכים אותו למסוכן מבחינה פוטנציאלית. "הווירוס מנטרל תוכנות אנטי וירוס ותוכנות פיירול וגם מונע מהמשתמש לערוך את הרג'יסטרי כדי לא לאפשר לו להסיר רכיבים של הווירוס". לדבריו, על אף שהווירוס אינו גורם כל נזק נוסף הוא עלול לפגוע בפעולה התקינה של המחשב עד למקרים בהם תידרש התקנה מחדש.
עם פתיחת הווירוס, הוא שולח הודעה לאתר אינטרנט שמציג את ספירת המחשבים שנדבקו. אלזם מציין כי מונה ההדבקות עומד על כ-1.5 מיליון מחשב נכון לליל חמישי. הווירוס יסרוק את המחשב בחיפוש אחר כתובות דואר אלקטרוני וישלח עצמו לכל הכתובות שימצא במחשב הקורבן בעזרת מנוע SMTP מובנה.
נוסף על דואר אלקטרוני, הווירוס מהתפשט ברשתות מקומיות וברשת הצ'טים של האינטרנט (IRC). סקריפט המשולב בווירוס שולח את קובץ הווירוס לכל מחשב שמחובר לאותו ערוץ IRC. באשר למחשבים בהם פועלת תוכנות שיתוף הקבצים "קאזה", "סוון" מציב עותקים רבים שלו בתיקיית הקבצים המשותפים של קאזה, כאשר הוא מתחזה לתוכנת "קאזה" או לתוכנה פופולרית אחרת. חברות האנטי וירוס הגדולות דירגו את הווירוס כבעל סיכון בינוני עבור משתמשים ביתיים.
איך מתגוננים?
מיקרוסופט הודיעה בעבר כי אינה שולחת הודעות על עדכוני אבטחה בדואר האלקטרוני. רצוי להימנע מפתיחת קבצים שמקורם בלתי ידוע או להתקין תוכנות שהורדו מהאינטרנט אלא אם כן אתם בטוחים כי תוכנת האנטי וירוס שברשותכם סורקת את התוכנה בשלב ההתקנה. מומלץ לא לפתוח קבצים מצורפים שנשלחו משולחים בלתי מוכרים לנמען. נוסף על כך, יש לבקר באתר Windows Update ולהוריד את טלאי האבטחה האחרונים עבור הדפדפן ומערכת ההפעלה שלכם. כדאי לעדכן את תוכנת האנטי וירוס ולהפעילה.
