2006. sze 08.

MSN vírus

írta: Mark yhennon
MSN vírus

Egy rendkívül érdekes, ámde veszélyes trójai kártevő kering MSN-en. A partner tudta nélkül ajánl fel letöltésre egy képernyőkímélőt. A művelethez a Google nevét is felhasználja.

 

Valami vírus garázdálkodik MSN-en. A következő szöveget jeleníti meg a partner tudta nélkül:

 

The person have send you his fotoalbum your client doesnt support download:

http://www.google.com/url?q=http://80.98.115.152:22029/<ÉN_MSN_CÍMEM>_FotoAlbum.SCr

 

Letöltöttem. A tűzfal azonnali megerősítést kért, hogy engedélyezem-e a művelet végrehajtását, nevezetesen, hogy az Internet Explorer megnyissa a 80.98.115.152 webhelyet. Amíg nem kap engedélyt, addig minden kommunikáció áll. Hadd jöjjön.

A letöltés végén eszmélt fel a NOD32, hogy a fájl Win32/IRCBot.TB trójait tartalmaz. Karanténba tettem. Lássuk, miről is van szó.

 

A NOD32 v.1.1742 (20060906) frissítése tartalmazza az ehhez a trójaihoz tartozó felismerő modult, ami azért érdekes, mert ezt már a múlt hónapban is megkaptam egyszer egy másik MSN partneremtől, akkor csak a tűzfal és a Windows Defender ébersége akadályozta meg a tragédiát. A NOD-nál nem kapkodták el...

 

A Symantec oldalán erről a változatról nincs semmi, a legközelebb eső a IRCBot.B. A Kaspersky-nél még ennyi sincs róla. Különös.

 

A Microsoft Rosszindulatú Szoftver Enciklopédiája (Malicious Software Encyclopedia: Win32/IRCbot) tatalmazza a legtöbb információt erről a kártevőről. Szerintük közepesen veszélyes . A Rosszindulatú szoftvereket eltávolító eszköz futtatásával eltávolítható ez a trójai. Innen tölthető le ingyenesen, vagy futtatható on-line változatban is.

 

Tehát, ha valaki képernyőkímélő kiterjesztésű fájlt (.SCR) küld, gyanakodjunk, kérdezzük meg, hogy miért küldi, mi van benne, és lehetőleg csomagoltassuk be egy ZIP vagy RAR fájlba.

Szólj hozzá

msn vírus