Állítsd be Google keresőjét, hogy a találatok között biztos ott legyen az Economx!
A hazánkban is több helyen felbukkant, a feltehetően orosz eredetű JS.Menger.A vírus a Microsoft Messenger programot használja fel terjedéséhez. Fertőzött weblapok megnyitásakor aktivizálódik, az Internet Explorer egy biztonsági hibáját kihasználva. Ennek segítségével a fertőzött weblapok megtekintésekor a weblapon levő víruskód hozzáférhet a számítógépen levő állományokhoz és bizonyos programokhoz is. Ezt használja ki a vírus az MS Messenger címlistájából való címkinyeréshez, valamint a levelek továbbküldéséhez.
A vírus aktivizálódáskor először egy üres weblapot jelenít meg „Please wait” címmel, majd, ezt felnagyítva eltakarja a képernyőt, hogy a háttérben szabadon tudjon terjedni. A Microsoft Messenger programot elindítva az adott felhasználó címlistájában szereplő címzetteknek eljuttat egy üzenetet, amely egy weblap megnyitására ösztönzi az üzenet olvasóját. A szóban forgó weblap a vírus egy példányát tartalmazza. A lapot megnyitva a vírus aktivizálódik és továbbterjed. A vírusnak rövid időn belül több változata bukkant fel, amelyek az üzenet szövegében, illetve a fertőzött weblap címében különböznek. A terjedésen kívül nincs káros hatásuk.
Érdekes fejlemény, hogy a vírus mindössze pár nappal azután jelent meg, hogy a Microsoft közzétette a biztonsági hiba létét. Ez újfent rávilágít arra a tendenciára, hogy a vírusírók nagyon gondosan figyelemmel kísérik az operációs rendszerek biztonsági hibáit, és amint új bukkan fel, nem haboznak felhasználni azt a vírusaikban - hívja fel a figyelmet Szappanos Gábor, a VirusBuster Kft. szakértője. A felhasználóknak, de főleg a rendszergazdáknak ugyanezt kell tenniük, mert az ellenoldal nem tétovázik, lecsap minden lehetőségre. Az I-Worm.Myparty.A elnevezésű vírus e-mail-üzenetek 29 696 bájt hosszúságú mellékleteként érkezik. A levelek címsora: „new photos from my party!”, tartalma pedig: „Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!”
Mellékletként a levelek a vírust tartalmazzák, www.myparty. yahoo.com néven. Ez első pillantásra egy internetes webhely címének látszik, de valójában egy Windows-program, amelyet a Windows a .COM végződés miatt futtathatónak tekint, azonban a rá való kattintáskor nem a weblap nyílik meg, hanem a vírus fut le. A melléklet lefuttatásakor a vírus aktivizálódik, bemásolja magát a C meghajtó RECYCLED könyvtárába REGCTRL.EXE néven, majd ezt a másolatot elindítva terjed tovább. A továbbküldéshez a vírus ugyanebben a könyvtárban készít magáról másolatokat véletlenszerűen generált néven. Windows NT/XP/2000 rendszereken egy trójai programot telepít fel, amely minden rendszerindításkor aktivizálódik, és kiskaput nyit a megfertőzött gépen az internet felé, amelyen keresztül a gépről adatok tölthetők le, illetve programok juttathatók be és futtathatók.
A továbbterjedéshez az Outlook és Outlook Express programok által is használt Windows Address Bookból összegyűjti az e-mail-címeket, majd továbbküldi magát a kiválasztott címekre. A levélküldéshez közvetlenül kapcsolódik az adott gépen definiált SMTP szerverre, ezért továbbterjedése független attól, hogy a számítógépre milyen levelezőprogram van telepítve. Csak január 25. és 29. között terjedt, ezért idén már nem jelent veszélyt.
G. J.
