Nem tudja a jobb kéz, mit csinál a bal

2008. július 31. 11:26 - Csizmazia Darab István [Rambo]

A kártevő letöltő oldalakra mutató spamek egy idő óta skizofréniában szenvednek.

 

A készítők megtekerik a generáló program kurbliját, és az egy adatbázisból máris ontja az érdekesnek szánt leveleket. Nyári olimpia, a cunami áldozatai, Tibet, Angelina Jolie terhessége, Fernando Alonso balesete - és még hosszan sorolhatnánk, a levélben pedig egy link, ami egy weboldalra mutat, ahol aztán jön az extra kodekletöltésre utaló kamu hibaablak, a kodek EXE pedig a Nuwar féreg egy változata - így megy ez, ilyen sablonosan.

A korábbi hosszabb reklámszövegeket, a raszterpontokkal teleszórt képes spameket felváltották az egysoros mondatok egy link kíséretében. Újabban úgy tűnik valamiféle zavar van a gépezetben - összecsúsztak a mezők az SQL adatbázisban, esetleg egy elszabadult pointer csörgeti láncát - minden esetre a mostanában érekezett levelek tárgysora (Subject) és a levéltest szövegében a linkre utaló mondat már köszönő viszonyban sincsenek egymással. Lehet, hogy esetleg szándékosan duplafedelű az e-mail, ha eseteg valaki éppen nem bukik az egyik témára, akkor "van máááááásik" - nem tudni pontosan az okot.

Az ilyen linkek legtöbbször a Win32/Nuwar féreg valamelyik változatára mutatnak, ezek közül is létezik olyan változat, amelyik a gépen található biztonsági programok ellen kísérel meg támadást intézni. A Nuwar.M variáns megpróbálja leállítani azon folyamatokat, melyek nevében szerepelnek a következő szótöredékek:anti, avg, avp, blackice, f-pro, firewall, hijack, lockdown, mcafee, msconfig, nav, nod32, rav, reged, Registry Editor, spybot, taskmgr, troja, viru, vsmon, zonea.

A trójai komponens pedig jelszavakat igyekszik összegűjteni a megfertőzött számítógépről - szóval ez a Nuwar nem lesz a barátunk, annyi biztos.

Valaki megalkothatna már egy jó kis emblémát a "Ne fürgyé le!" mintájára, "Ne klikkelj rá!" vagy valami hasonló felirattal ;-) és majd beajánljuk Tomcat polóboltjába.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr92593952

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Scientist · http://deadindian.extra.hu 2008.07.31. 13:51:57

elavult az otthoni virusgyüjteményem