זהירות: וירוסים שמתחזים להודעה מספק האינטרנט

הווירוסים Beagle.J ו-Beagle.K מזייפים את הדומיין של השולח, כך שנדמה לנמען כי ההודעה נשלחה מספק האינטרנט

גל מור פורסם: 10.03.04, 23:29

הגרסאות האחרונות של הווירוס "בייגל" מיישמות טקטיקה חדש של "הנדסה חברתית" במטרה לשכנע נמעני וירוסים לפתוח את קובץ הזיפ המצורף להודעה.

הווירוסים Beagle.J ו-Beagle.K מזייפים את הדומיין של ספק האינטנרט של הנמען, כך שנדמה לו כי ההודעה התקבלה ממוקד התמיכה, ההנהלה או שירות הלקוחות של ספק האינטרנט שלו (בכלל זה ספקים ישראלים). הטקסט המצורף עשוי לכלול אחד מנוסחים רבים, בהם:

הודעה לגולש כי חשבון הדואר האלקטרוני שלו הושעה בשל "גישה בלתי מורשית".
שרת הדואר שלנו לא יהיה זמין ביומיים הקרובים. כדי להמשיך לקבל דואר עליך להגדיר את שירות ההפניה האוטומטי.
חשבון הדואר יושעה בגלל שימוש בלתי הולם, אם ברצונך להמשיך להשתמש בו התחבר מחדש בעזרת פרטי החשבון שלך.
חברת האנטי וירוס שלנו גילתה כמות גדולה של וירוסים שיצאו מחשבון הדואר שלך, תוכל להשתמש בסורק האנטי וירוס שלנו חינם כדי לנקות את המחשב.
חלק מהלקוחות התלוננו על דואר זבל שיצא מהמחשב שלך. סביר להניח שנדבקת על ידי סוס טרויאני. כדי לפתור את הבעייה, בצע את הפעולות הבאות.

כל ההודעות כוללות סיסמה, והנמען נקרא להשתמש בה כדי לפתוח את קובץ ה-.zip המוצפן המצורף להודעה. עם פתיחת הקובץ, הווירוס מעתיק עצמו לתיקיית המערכת של Windows, מוסיף מפתח למערכת הרישום של Windows, על מנת שיפעל עם כל הפעלה מחודשת של מערכת ההפעלה.

נוסף על כך, הווירוס פותח דלת אחורית במחשב המאפשר הורדת סוסים טרויאנים והשתלטות על המחשב מרחוק. הווירוס שולח גם מידע על המחשב לשרתים מרוחקים, ובכלל זה מספר הפורט החשוף במחשב וכתובת ה-IP שלו. כמו כן, הווירוס מנסה להפסיק את הפעולה האוטומטית של ההליכים האחראים במחשב על עדכון תוכנת האנטי וירוס בקבצי חתימה חדשים.

בשלב הבא, הווירוס סורק את הקבצים במחשב המקומי ואוסף כל כתובת דואר אלקטרוני שהוא מוצא ושולח עצמו אליהן באמצעות מנוע SMTP מובנה. במטרה להפיץ עצמו דרך רשתות שיתוף קבצים כמו קאזה או iMesh, הווירוס מעתיק עצמו לתיקיות המשותפות של תוכנות אלה תחת שמות של יישומים פופולריים כמו פוטושופ, אופיס XP, ווינאמפ, לונגהורן ועוד.

מחר: יומו של נטסקיי

על פי מידע שהגיע ל-ynet, לקוחות של ספקי אינטרנט ישראלים נפגעו בימים האחרונים מהווירוסים האחרונים. עם זאת, חלק מהספקים פתרו את הבעיה והם מונעים את הפצת הווירוס. יש להתייחס בחשדנות לכל הודעה באנגלית שהתקבלה מאת ספק האינטרנט. רוב ספקי האינטרנט בישראל אינם נוהגים לשלוח הודעות באנגלית ללקוחותיהם.

בתוך כך, חברת האנטי וירוס "פנדה" מזהירה מפני התפרצות חדשה של וירוסים מחר (ה'), בעקבות הודעה שנמצאה בקוד של גירסה K של הווירוס נטסקיי (Netsky), לפיה ה-11 במרץ יהיה "יומו של נטסקיי". ההמלצה של פנדה היא לוודא כי תוכנת האנטי וירוס פועלת ומעודכנת, ולהימנע מפתיחת קבצים לא צפויים, גם אם שולח ההודעה מוכר. לחצו כאן למעבר למדריך ynet בנושא הגנה מלאה מווירוסים.