02.02.2006, 14:51

Reedel ründab ohtlik viirus

Kaspersky Lab teatab tõsisest ohust, mille põhjustab hiljuti avastatud postiuss Email-Worm.Win32.Nyxem.e.

Kahjurprogramm levib nakatunud e-kirjade manustena interneti, aga ka failidena jagatud võrguressursside kaudu. Spetsialistide andmetel ulatub nakatunud arvutite hulk praegu mõnesaja tuhandeni. See kasvab pidevalt ja sunnib tõsiselt rääkima mainitud kahjurprogrammi ulatuslikust levikust.

Eriti ohtlik on Nyxem.e iseärasus, mis seisneb nakatunud arvutis paiknevate andmete kustutamises igal kolmandal kuupäeval. Sel moel võib 3. veebruar 2006 saada ussiga Nyxem.e nakatunud arvutite viimseks päevaks.

Uss kujutab endast Windowsi keskkonnas täidetavat faili suurusega 95 Kb. See on manustatud kirjale, mille teema on võetud autori poolt varem ette valmistatud loendist (umbes 25 valmisteemat). Seejuures on ka kirja tekstil ja manustatud faili nimel üle 20 erineva variandi, mis raskendab oluliselt nakatunud kirja avastamist kasutaja poolt.

Uss aktiveeritakse, kui kasutaja käivitab nakatunud faili. Pärast seda võtab Nyxem.e kasutaja eksitamiseks tarvitusele lisameetmed: uss varjab oma põhifunktsionaalsust, luues Windowsi süsteemikaustas täidetava failiga samanimelise ZIP-arhiivi ja seejärel avab viimase. Paigaldamisel kopeerib uss end mitme nime all juurkausta ja Windowsi süsteemikausta, aga ka automaatkäivituskausta, misjärel registreerub süsteemiregistrisse automaatkäivitusvõtmena. Sel kombel käivitub igakordsel Windowsi taaskäivitusel ka kahjurprotsess.

Seejärel skaneerib Nyxem.e nakatunud arvuti failisüsteemi ja saadab end laiali arvutist leitud kõigile e-posti aadressidele. Nakatunud kirjade saatmiseks üritab uss luua otseühenduse SMTP-serveriga. Paralleelselt sellega kopeerib ta end nakatunud arvutile kättesaadavatesse võrguressurssidesse nime all Winzip_TMP.exe, suurendades niiviisi oma leviulatust nende kasutajate arvelt, kes selle faili endale alla laevad.

Seejuures katkestab uss nakatunud arvuti kaitseprotsessid ja välistab nende käivitumise, jättes rünnatud arvuti kaitseta. Kontrollides täielikult nakatunud arvutit on Nyxem.e võimeline internetist iseseisvalt oma uuendusi alla laadima, muutudes autori tahte järgi.

Lisaks ülaltoodule kujutab endast erilist ohtu ussi Nyxem.e destruktiivne funktsioon. Vastavalt sellele kontrollib uss regulaarselt arvuti süsteemiaega ja juhul, kui see on 3. kuupäev, hävitab uss 30 minutit pärast arvuti käivitust info enamlevinud vorminguga failides, asendades selle mõttetu sümbolijadaga.

“Otsustades ussi esinemuse järgi üleilmses internetiliikluses ja arvestades järjest suurenevat kaebuste hulka, mis tuleb nakatunud arvutite kasutajatelt, on ussiga Nyxem.e nakatunud suur osa kogu maailma arvutitest, nende hulka võib hinnata mõnesajale tuhandele. See tähendab ainult üht — 3. veebruar võib saada viimseks päevaks paljude hooletutele kasutajatele, kes võivad kaotada väärtuslikud andmed sel juhul, kui nende arvutid on nakatunud ussiga Nyxem.e.

Seepärast pöördun ma kõikide arvutikasutajate poole palvega võtta kasutusele lihtsad abinõud, vältimaks ussiga nakatumist: mitte avada tundmatutelt saatjatelt tulnud e-kirjade manuseid, uuendada arvutisse paigaldatud viirusetõrjeprogrammi viirusetõrjebaasid ja pärast seda teha arvuti täielik kontroll”, ütles Jevgeni Kasperski, Kaspersky Lab´i viirusetõrjelabori juhataja.

Kaitseprotseduurid Email-Worm.Win32.Nyxem.e eest on juba lisatud Kaspersky Lab´i viirusetõrjebaasidesse. Täpsemat teavet sellest kahjurprogrammist võib leida Kaspersky Viiruste Entsüklopeediast.

Kommenteeri Loe kommentaare