Uwaga na robaka W32.Swen

Użytkownicy Internetu mogą być zaatakowani przez nowego robaka noszącego nazwę W32.Swen. Robak rozprzestrzenia się używając wiadomości e-mail oraz oprogramowania IRC (Internet Relay Chat) i Kazaa (sieci peer-to-peer).

Jak twierdzi F-Secure (Helsinki), robak wykorzystuje "furtkę" istniejącą w przeglądarce Internet Explorer (Microsoft) i atakuje komputery pracujące pod dowolną wersją systemu operacyjnego Windows.

Uwaga – robak udaje, że jest kolejną "łatą" Microsoftu zwiększającą bezpieczeństwo komputera, żądając od użytkownika wybrania jednego z przycisków ("Yes" lub "No", co ma być zgodą na zainstalowanie uaktualnienia), a w przypadku zgody wyświetlając nawet pasek postępu instalacji.

Jednak tak naprawdę robak instaluje się niezależnie od tego jaką opcję wybierze użytkownik. Po zainfekowaniu komputera Swen zmienia konfigurację systemu Windows w taki sposób, aby robak uaktywniał się za każdym razem, gdy Windows startuje. Robak jest na tyle sprytny, że identyfikuje i wyłącza oprogramowanie antywirusowe (oraz niektóre inne zabezpieczenia dostrzeżone na komputerze, które może wyłączyć).

Tak jak inne znane robaki rozprzestrzeniające się za pośrednictwem wiadomości e-mail, Swen skanuje dysk twardy w poszukiwaniu adresów pocztowych, które są następnie używane do rozsyłania kopii wirusa do kolejnych komputerów. Robak pobiera z systemu Windows wszystkie parametry niezbędne do rozsyłania wiadomości, takie jak adresy serwerów SMTP (Simple Mail Transfer Protocol), nazwy użytkowników, itp.

Zainfekowane wiadomości e-mail są odpowiednio formatowane, tak, aby miały wygląd oficjalnej korespondencji rozsyłanej do użytkowników przez Microsoft. I tak odbiorca wiadomości zobaczy, że nadawcą jest np. "MS Technical Assistance", co jest jedną z wielu opcji wybieranych przez robaka w sposób przypadkowy. W pozycji temat może się natomiast pojawić budząca zaufanie informacja "three newly discovered vulnerabilities".

Robak potrafi stwierdzić obecność klienta IRC lub oprogramowania Kazaa, które obsługuje sieć stacji równorzędnych P-to-P (peer-to-peer), wykorzystując ją do dalszego rozprzestrzeniania się. Swen buduje specjalny skrypt, który rozsyła zainfekowane pliki do wszystkich komputerów pracujących na tym samym kanale IRC, na którym pracuje już zainfekowany komputer.

W przypadku oprogramowania Kazaa, Swen włącza opcję udostępniania plików i umieszcza wiele swoich kopii w udostępnionym folderze Kazaa, udając standardowe pliki generowane przez program Kazaa lub inne popularne pliki używane w tym środowisku.

F-Secure, Network Associates i Symantec wydały już stosowne ostrzeżenia dotyczące tego robaka, informując użytkowników, że rozprzestrzenia się on przez Internet.

Niektórzy uważają, że Swen jest podobny do innego robaka noszącego nazwę W32.Gibe. Gibe też rozprzestrzeniał się za pośrednictwem wiadomości e-mail oraz oprogramowania Kazaa i sieci IRC, oraz przebierał się za kogoś innego (udając oprogramowanie udostępniane przez Microsoft). Użytkownicy powinni więc jak najszybciej uaktualnić swoje pakiety antywirusowe, zabezpieczając się przed zgubnymi skutkami działania robaka W32.Swan.


Zobacz również