Wirus udający betę IE7

W Internecie pojawiły się wiadomości pocztowe oferujące pobranie wersji beta 2 Internet Explorer 7. Jest to nowy wirus podszywający się pod testową wersje aktualnej przeglądarki Microsoftu.

Specjaliści nie zauważyli na razie szerszego rozprzestrzeniania się tego wirusa, ale jest on godny uwagi z dwóch powodów. Wiadomość pocztowa zawiera przekonywująca grafikę, która wygląda jak gdyby pochodziła od Microsoftu, a wirus dostarczany jest po kliknieciu na linku, a nie na załączniku, co utrudnia zatrzymanie procesu.

W opinii specjalistów F-Secure, idea bezpośrednich łączników wydaje się być wyraźnym trendem wśród napastników, ponieważ sprawdza się dużo lepiej niż wysyłanie plików w postaci załączników.

Wiadomość może zawierać w wierszu temat frazę 'Internet Explorer 7 Downloads' i pochodzi rzekomo spod adresu źródłowego admin@microsoft.com. Zawiera niebieską grafikę, w stylu Microsoftu, oferująca sprowadzenie IE 7 beta 2. Kliknięcie na grafice powoduje sprowadzenie pliku wykonalnego IE7.exe.

Plik jest w rzeczywistości nowym wirusem o nazwie Virus.Win32.Grum.A, a specjaliści są nadal w trakcie analizowania co właściwie on robi. Według specjalistów firmy Sophos, może on rozprzestrzeniać się automatycznie pocztą elektroniczną pod adresy z książki adresowej zaatakowanego komputera. Wirus manipuluje również na plikach rejestrów w celu zapewnienia sobie pełnej procedury instalacyjnej, próbuje także sprowadzić dodatkowe pliki z Internetu.

Inne działania nie są znane, ale takie wirusy instalują często rejestratory klawiatury w celu przechwytywania haseł i innych informacji osobistych.

Firma F-Secure także otrzymała wiele raportów o takich przesyłkach pocztowych, ale niewiele egzemplarzy samego wirusa, co oznacza, że jego rozprzestrzenianie jest na razie ograniczone.

Rozwiązania antywirusowe F-Secure i Sophos są, według zapewnień tych firm, przygotowane na blokowanie wirusa. Inne filtry także odnotowały zablokowanie wirusa już w piątek ubiegłego tygodnia.

Wirus gości na kilku serwerach rozrzuconych po całym świecie, które w miarę upływu czasu będą identyfikowane. Są to serwery WWW, które zostały shakowane. SANS Internet Storm Center zachęca administratorów do kontroli logów, aby upewnić się czy zarządzane przez nich serwery nie goszczą plików wirusa.

Problem dotyczy tylko użytkowników Windows. Finalna wersja IE 7 została wydana przez Microsoft w październiku ub.r. jest więc niemożliwe, aby firma ogłaszała w tej chwili wydanie wersji beta produktu, którego prawdziwą wersję można ściągnąć z witryny firmy. Jest to więc pułapka dla użytkowników nie interesujących się na bieżąco najnowszymi wersjami użytkowanych programów.


Zobacz również