תולעת חדשה ומסוכנת: Novarg.A

תולעת חדשה בשם Novarg.A מתפשטת במהירות בשעות האחרונות ברחבי העולם ומדביקה מחשבים הפועלים עם מערכת ההפעלה Windows. חברות האנטי וירוס מזהירות כי מדובר בווירוס עם פוטנציאל הרס רב.

התולעת מתפשטת בדואר האלקטרוני ובאמצעות רשת שיתוף הקבצים "קאזה". ההודעה עלולה להתקבל מכל כתובת דואר אלקטרוני - בין אם שייכת לגולשים המוכרים לנמען או אלה הזרים לו. חברת האנטי וירוס סימנטק קבעה את דרגת האיום שמציבה התולעת (הידועה גם בשמות , Mydoom,MIMAIL.R ו- Shimgapi) ל-4 מתוך 5. התולעת מאופיינת כבעלת תפוצה מהירה, שיעור הידבקות גבוה וגורמת נזק ברמה בינונית. חברת "מקאפי" קובעת כי מדובר בווירוס המופץ במהירות רבה גם בבתי עסק וגם במחשבים ביתיים. על פי חברת "פנדה", הווירוס מציב איום "חמור" (4 מתוך 4) על מחשבים ברחבי העולם.

ההודעה עשויה ליצור את הרושם כי מדובר במכתב שחזר לשולח. כאשר הווירוס מתקבל בדואר האלקטרוני, כותרת ההודעה עשויה להיות test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status או Error. מומלץ לא לפתוח כל הודעה הנושאת אחת מכותרות אלה.

גוף ההודעה כולל את הטקסט הבא:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

עם זאת, על פי חברת פינג'אן, הווירוס יכול להיות מלווה בכל טקסט שהוא, מאחר והוא מספיק משוכלל כדי לייצר אינספור צורות פנייה. שם הקובץ המצורף עשוי להיות document, readme, doc, text, file, data, test ועוד. סיומת הקובץ עשויה להיות .pif, .scr, .exe, .cmd, .bat או .zip

עם פתיחת הקובץ, התולעת פותחת את פנקס הרשימות של Windows המציג נתונים חסרי משמעות. במקביל, התולעת פותחת דלת אחורית במחשבים הנגועים ביציאות TCP (פורט) 3172 עד 3198. פעולה זו תאפשר לגולש זדוני להתחבר למחשב מרחוק ולהשתלט עליו, כמו גם לגשת לכל הקבצים במחשב.

בשלב זה, התולעת תוסיף ערכים למערכת הרישום של Windows ותסרוק קבצים במחשב על מנת לאתר כתובות דואר אלקטרוני ולשלוח עצמה אליהן באמצעות מנוע SMTP מובנה. התולעת מעתיקה עצמה לתיקיית ההורדות של תוכנת "קאזה" בשמות של תוכנות פופולריות כמו winamp5, icq2004-final ואחרים ביחד עם סיומת .pif, .scr או .bat

לאחר שהתולעת תדביק את המחשב, היא צפויה להשיק מתקפת שלילת שירות (DoS) על אתר האינטרנט של חברת SCO בין ה-1 בפברואר ל-12 בחודש. התולעת תנסה לגשת לאתר של SCO כל 300 אלפיות שנייה ובכך לשתק את פעילות השרת. SCO שנואה במיוחד בקהילת הקוד הפתוח בחודשים האחרונים לאחר שתבעה את חברת IBM, בטענה כי שילבה רכיבים ממערכת ההפעלה יוניקס במערכת ההפעלה החופשית לינוקס.

איך מתגוננים?

כל חברות האנטי וירוס הגדולות עדכנו את קובצי החתימה שלהן בווירוס החדש. יש לוודא כי תוכנת האנטי וירוס פועלת ולבצע סריקה של כל הקבצים במחשב. כמו כן, רצוי לעדכן את תוכנת האנטי וירוס בקובצי הווירוסים החדשים, אם העדכון לא מתבצע אוטומטית. רצוי להימנע מפתיחת קבצים שמקורם בלתי ידוע או להתקין תוכנות שהורדו מהאינטרנט. נוסף על כך, יש לבקר באתר Windows Update ולהוריד את טלאי האבטחה האחרונים עבור הדפדפן ומערכת ההפעלה שלכם.

כדאי לעדכן את תוכנת האנטי וירוס ולכבות את כל השירותים הבלתי נחוצים במערכת ההפעלה (למשל, שרת FTP, טלנט, שרת Web ועוד), במטרה לצמצם את סכנת החשיפה של המערכת בפני התקפות

שירות הבדיקה המקוון של חברת "פנדה" יסרוק את המחשב האישי בחיפוש אחר הווירוס וימחק אותו אם יימצא. כמו כן, ניתן להשתמש בשירותי בדיקה מקוונים נגד וירוסים של החברות סימנטק, מקאפי או טרנד מיקרו.

רצוי להימנע מפתיחת קבצים שמקורם בלתי ידוע או להתקין תוכנות שהורדו מהאינטרנט אלא אם כן אתם בטוחים כי תוכנת האנטי וירוס שברשותכם סורקת את התוכנה בשלב ההתקנה. נוסף על כך, יש לבקר באתר Windows Update ולהוריד את טלאי האבטחה האחרונים עבור הדפדפן ומערכת ההפעלה שלכם.

חברת סימנטק ממליצה להפסיק באופן זמני את תכונת השחזור האוטומטי של Windows. שירות זה עוקב אחר שינויים המתבצעים במערכת ההפעלה כמו התקנת דרייברים חדשים, ומאפשר לתעד ולגבות את מצב המערכת לפני השינוי. עם זאת, פעולת השחזור עלולה ליצור גיבוי של הווירוס ביחד עם שאר קובצי המערכת. לשם כך, היכנסו לכרטיסיה System Restore ב-Properties של My Computer, וסמנו את האופציה Turn Off System Restore for all Drives. 

שלמה טובול, מנכ"ל חברת פינג'אן, מוסיף כמה כללים שעשויים למנוע הידבקות בתולעת:

1. אין לפתוח קבצים עם הסיומות .bat, .zip, .pif, ..scr, .cmd ו-.exe יש לוודא שהמחשב "שואל" אתכם האם לפתוח את הקובץ, ולא פותח אותו אוטומטית אחרי לחיצה כפולה על העכבר

2. קבצים עם סיומת כפולה, כגון .txt.exe או .htm.pif הם מסוכנים במיוחד.

3. אל תאמינו לאייקון של הקובץ המצורף: הוא בהחלט יכול להיות מזויף. קראו את שם הקובץ ותנו את דעתכם במיוחד על הסיומת שלו.

4. גם אם קיבלתם תיקיות מכווצות (zip, rar וכדומה) שאינן נגועות, בדקו היטב אם הקבצים שהן מכילות אינם נגועים.

5. חברות וארגונים שעדיין מאפשרים שימוש בתוכנות שיתוף קבצים חייבים לחסום אותן.

6. אם קיבלתם עדכון מחברת תוכנה (מיקרוסופט או אחרת) באמצעות דואר אלקטרוני – סביר להניח שמדובר בווירוס.