הווירוס NetSky.D מתפשט ברשת
התולעים ממשיכות להתקיף את משתמשי האינטרנט ברחבי העולם, עם גירסאות חדשות לשני וירוסים נפוצים: NetSky.D ו-Bagle.E. לראשון טרם זמינים עדכונים, אולם השני כבר ניתן לפיתרון
מספר ימים בלבד לאחר הפצת הגירסה השלישית של התולעת Netsky, הופיעה ברשת היום (ב') גירסה חדשה, Netsky.D, שמתפשטת ברחבי הרשת.
הווירוס החדש מפיץ עצמו באמצעות מנוע SMTP מובנה לכתובות IP מרובות ושולח הודעות דואר אלקטרוני שבשורת הנושא שלהן עשויים להופיע משפטים שונים, בהם Re: Hi, Re: Re: Re: Your document, Re: Thanks!, כאשר המשותף לכולן היא המילה Re: בפתיחה.
גוף ההודעה כולל כמה מאפיינים קבועים, בהם קריאה למשתמש לפתוח את הקובץ המצורף להודעה. בגוף ההודעה תיתקלו באחת מהאפשרויות הללו: Your file is attached, Please read the attached file, Please have a look at the attached file, See the attached file for details, Here is the file, Your document is attached. הקבצים המצורפים עשויים לשאת שמות שונים, אך המשותף להם היא הסיומת PIF.
לאחר שהמשתמש פותח את הקובץ המצורף, הווירוס שותל עצמו בתיקיית Windows/winlogon.exe. ומוסיף את הערך "ICQ Net" = "%Windir%/winlogon.exe -stealth" למערכת הרישום של Windows, על מנת שהתולעת תופעל באופן אוטומטי עם הפעלת המחשב. הווירוס משנה ערכים במערכת הרישום, חלקם קשורים או משויכים לווירוסים נפוצים אחרים, כגון MyDoom ו-Mimail. בימי שלישי במרץ 2004, בין השעות שש לשמונה בבוקר, הווירוס יגרום למחשב לצפצף למשך זמן מסוים.
התולעת סורקת קבצים במחשבים על מנת לאסוף כתובות דואר אלקטרוני ולשלוח עצמה אליהן. בדומה לקודמו, גם Netsky.D נמנע לשלוח עצמו לכתובות דואר הכוללות את הצירופים: fbi, cafee, spam, icrosoft ועוד.
לאור שיעור הנדבקים הגבוה, סימנטק העלתה את רמת הסיכון של הווירוס מ-3 ל-4 מתוך 5 והפיצה כלי להסרתו. סימנטק מאפיינת את הוירוס כבעל קצב התפשטות גבוה, כגורם לשיעור נדבקים בקצב גבוה וכבעל נזק בשיעור נמוך. הוירוס מדביק בעיקר משתמשים ביתיים. נכון לאמש בחצות, מדווחת סימנטק על אלפי נדבקים חדשים ברחבי העולם, כשלמעלה מ- 50 אחוז מהם מאזור אירופה, המזרח התיכון ואפריקה. פנדה הפיצה עדכון לתולעת, אשר מדורגת על ידה כחמורה ומדבקת במיוחד. מקאפי לעומתן, קבעה לווירוס סיכון נמוך, ומציעה עבורו את כלי הניקוי ששימש להסרת קודמו, NetSky.C. אגב, בניגוד לקודמו, NetSky.D אינו מופץ באמצעות תוכנות P2P ואינו מוחק קבצים החיוניים לתפקודה של Windows.
עוד גירסה חדשה: Bagel.E
וירוס נוסף, W32/Bagle.e@MM, גירסה חמישית לתולעת Bagle, החל להתפשט אמש ברשת. הווירוס מופיע גם תחת השם W32.Beagle.E@mm.
הווירוס מופץ עם שורות נושא משתנות, בעוד בגוף ההודעה לא כתוב דבר. הקובץ המצורף להודעות הוא בפורמט ZIP, אך הסמל הגרפי לצדו הוא של קובץ אקסל או Notepad. הווירוס מפיץ עצמו באמצעות מנוע SMTP מובנה ודרך פרוטוקול 2745, וחושף את המחשב הפרוץ להשתלטות מרחוק.
בעת פתיחת הקובץ הנגוע, בודק הוירוס את התאריך, עד ל-14.3.04. אחר כך הוא פותח חלון ריק של תוכנת Notepad ומעתיק עצמו לתיקיית C:/windows/system תחת השם ReadMe.exe או i1ru74n4.exe. בנוסף לאלה, יותר הווירוס קבצי DLL עם סיומת EXE, בשם ii455nj4.exe ו- godo.exe וכן קובץ ZIP בשם i1ru74n4.exeopen.
Bagle.E שולח פניות לאתרים permail.uni-muenster.de , www.songtext.net/de , www.sportscheck.de ומנסה לעצור תהליכים חיוניים למערכת ההפעלה. שלא כמו קודמיו, הוא נמנע מלהפיץ עצמו באמצעות הדואר לכתובות המסתיימות ב-@hotmail או @Microsoft.
הווירוס הנוכחי זכה לדירוג בינוני ממקאפי, המציעה עבורו עדכון. סימנטק מדרגת אותו כסיכון בינוני מבחינת פגיעה, וגבוה מבחינת תפוצה ומציעה כלי להסרתו. פנדה משייכת לתולעת רמת סיכון גבוהה, ומציעה כלי להסרתה.
חודש פברואר הקשה
ל-ynet הגיעו דיווחים על התפשטות הווירוסים גם בישראל, ביניהן מחברת פיינאפ המדווחת כי מערכות המיחשוב שלה מתמודדות המערכות שלנו מתמודדות עם אלפי הודעות בדקה. אגב, בניגוד לקודמו, NetSky.D אינו מופץ באמצעות תוכנות P2P ואינו מוחק קבצים החיוניים לתפקודה של Windows.
לדברי האנליסטים, פברואר 2004 היה החודש הכי יקר מבחינת ההוצאות על אבטחת מידע בגלל וירוסים, אך רוב ההוצאות נגרמו לחברות וארגונים. בצד של המשתמשים, החודש האחרון לא היה כל כך נורא. למרות שבמהלכו הופצו ברשת חמש גירסאות חדשות של התולעים MyDoom ,NetSky ואחרות - לא נגרמו למשתמשים נזקים חמורים. באוגוסט 2003, אז הופיעו SoBig.F ו-Blaster, נפגעו מחשבים רבים יותר.
איך מתגוננים?
יש לוודא כי תוכנת האנטי וירוס פועלת ולבצע סריקה של כל הקבצים במחשב. כמו כן, רצוי לעדכן את תוכנת האנטי וירוס בקובצי הווירוסים החדשים, אם העדכון לא מתבצע אוטומטית. כדאי לעדכן את תוכנת האנטי וירוס ולכבות את כל השירותים הבלתי נחוצים במערכת ההפעלה (למשל, שרת FTP, טלנט, שרת Web ועוד), במטרה לצמצם את סכנת החשיפה של המערכת בפני התקפות.
שירות הבדיקה המקוון של פנדה יסרוק את המחשב האישי בחיפוש אחר הווירוס וימחק אותו אם יימצא. כמו כן, ניתן להשתמש בשירותי בדיקה מקוונים נגד וירוסים מסימנטק, מקאפי או טרנד מיקרו.
ראוי להדגיש, כי לא כל חברות האנטי וירוס עדכנו את קבצי החתימות שלהן ובינתיים, רצוי להימנע מפתיחת קבצים שמקורם בלתי ידוע או להתקין תוכנות שהורדו מהאינטרנט. נוסף על כך, יש לבקר באתר Windows Update ולהוריד את טלאי האבטחה האחרונים עבור הדפדפן ומערכת ההפעלה שלכם.
