Fałszywy patch dla Windows XP

Producenci oprogramowania antywirusowego ostrzegli użytkowników systemu Windows XP przed nowym, niebezpiecznym koniem trojańskim, podszywającym się pod uaktualnienie dla systemu Windows XP. "Insekt", znany jako "Xombe" lub "Dloader-L", pojawia się zwykle w komputerze w postaci załącznika do e-maila, którego nagłówek sugeruje, że został on wysłany z adresu windowsupdate@microsoft.com.

W e-mailu, zatytułowanym: Windows XP Service Pack 1 (Express) - Critical Update, czytamy m.in.: Window Update has determined that you are running a beta version of Windows XP Service Pack 2 (SP1). To help improve the stability of your computer, Microsoft recommends that you remove the beta version of Windows XP SP1."

Po uruchomieniu załączonego do takiej wiadomości pliku (winxp_sp1.exe) i restartowaniu komputera trojan łączy się z predefiniowaną stroną WWW i pobiera z niej program o nazwie Mssvc-A. To jest kolejny koń trojański, który natychmiast po pobraniu jest instalowany.

Według przedstawicieli firmy Sophos, zainfekowany komputer może zostać wykorzystany do przeprowadzenia ataku DoS (Denial of Service). Dodatkowo, Xombe gromadzi i periodycznie wysyła pewne informacje o zainfekowanym komputerze, a także wysyła swoje kopie za pośrednictwem poczty elektronicznej. Podkreślenia warte jest to, że Xombe jest trojanem "dwuskładnikowym" - do jego prawidłowego działania niezbędne jest pobranie z Sieci dodatkowego komponentu (co nie zawsze mu się udaje).

Warto w tym miejscu wspomnieć, że Microsoft stosunkowo często informuje o nowych uaktualnieniach za pośrednictwem poczty elektronicznej, nigdy jednak do wiadomości takiej nie jest załączony sam patch - e-mail zawiera jedynie wskazówki, jak i gdzie można owo uaktualnienie pobrać.

"Na razie dostaliśmy zaledwie kilka kopii Xombe - trudno więc na razie mówić o tym, że trojan ów poważnie zagraża polskim użytkownikom. Warto zauważyć, że jego aktywność zależna jest od tego, czy uda mu się pobrać dodatkowy komponent z Internetu - myślę, że to może w jakiś sposób ograniczać jego rozprzestrzenianie się. Xombe nie jest może destrukcyjny (nie kasuje żadnych plików) nie znaczy to jednak, że jest zupełnie niegroźny. Zagrożenie tkwi w tym, że trojan podszywa się pod uaktualnienie oprogramowania Microsoftu - sądzę, że może mu się uda "zwieść" wielu użytkowników, którzy w dobrej wierze uruchomią załączony do wiadomości plik" powiedział nam Maciej Pałys z firmy MKS.

Większość producentów oprogramowania antywirusowego pracuje już nad uaktualnieniami do swoich produktów, umożliwiającymi usunięcie Xombe. Maciej Pałys zapewnił nas, że MKS takie uaktualnienia udostępni jeszcze dziś. Na razie skutecznym sposobem zabezpieczenia się przed trojanem jest skasowanie zaraz po otrzymaniu opisanego wyżej e-maila.


Zobacz również