Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

"Here you have" - to nie film pornograficzny, ale robak

Aleksander Gostiew
Kaspersky Lab Expert
Dodany 13 września 2010, 09:12 CEST
Tagi:

Zwiększamy poziom zagrożeń o jeden stopień. Obecnie nie zdarza to się tak często jak dawniej. Decyzję tą podjęliśmy z kilku powodu, jednak jeden miał szczególne znaczenie.

Zidentyfikowaliśmy robaka o nazwie VBMania. Być może nie brzmi to groźnie, jednak w przeciwieństwie do dzisiejszych robaków, VBMania rozprzestrzenia się za pośrednictwem poczty elektronicznej. Stara szkoła. Co więcej, szkodnik ten działa według zasady „pobierz i uruchom”.

Robak rozprzestrzenia się poprzez wysyłanie e-maili z zainfekowanego komputera. Wiadomości posiadają nagłówek „Here you have” oraz losowo wybrany tekst w stylu "This is The Free Dowload Sex Movies,you can find it Here" (To są darmowe firmy pornograficzne do pobrania, możesz je znaleźć tutaj). Naturalnie, wiadomości zawierają również odsyłacz do pliku w Internecie.

Wystarczy kliknąć odsyłacz, zapisać i uruchomić plik – i komputer jest już zainfekowany.

Pomimo prymitywnej metody propagacji robak jest dość aktywny, rozsyłając ogromne ilości e-maili.

Z tego powodu, jak również ze względu na to, że w Sieci krążyło wiele informacji na temat tego robaka, postanowiliśmy zwiększyć poziom zagrożenia, aby poinformować możliwie jak najwięcej osób.

Robak został napisany w języku Visual Basic, a nasze produkty wykrywają go proaktywnie przy pomocy heurystyki jako Suspicious:HEUR:Trojan.Win32.Generic.

Zeszłej nocy dodaliśmy wykrywanie sygnaturowe (Trojan-Win32.Swisyn), które zamierzamy zmienić na Email-Worm.Win32.VBMania.

AKTUALIZACJA: Wszystkie szkodliwe pliki robaka zlokalizowane na members.multimania.co.uk zostały usunięte. To oznacza, że robak nie będzie mógł się dalej rozprzestrzeniać. Jednak, zainfekowane komputery nadal będą wysyłać e-maile, do momentu aż zostaną wyleczone.

Podczas analizowania robaka zidentyfikowaliśmy również wcześniejszy wariant - Trojan.Win32.Swisyn.ajgd. Trojan ten został po raz pierwszy wykryty w sierpniu tego roku, posiadał podobną funkcjonalność i był rozprzestrzeniany z members.multimania.co.uk oraz lycos.co.uk.