|
ExploreZip -viruksesta uusi versio Viime kesänä löytyneestä ExploreZip -virusmadosta on löydetty uusi versio, joka on ehtinyt tarttua useisiin Yhdysvaltain suurimpiin kuuluvista yritysverkkoista. Suomalainen virustorjuntaohjelmistoihin ja tietoturvaan erikoistunut yritys Data Fellows on saanut ilmoituksia viruksesta myös Suomesta. ExploreZip toimii ketjukirjeen tapaan ja kuljettaa mukanaan tuhoisaa lastia. Data Fellows varoittaa, että virus voi levitä maailmanlaajuisesti jopa muutamien tuntien kuluessa. Uusi virusversio tunnetaan nimellä W32/ExploreZip.worm.pak. Alkuperäinen virus on pakattu puolet aiempaa pienempään tiedostokokoon, jonka takia useimmat päivittämättömistä virustorjuntaohjelmista eivät ole pystyneet tunnistamaan uutta versiota. ExploreZip saapuu vastaanottajalleen sähköpostin tiedostoliitteenä. Kun liite avataan, käyttäjän kone alkaa vastata automaattisesti kaikkiin tämän jälkeen vastaanotettuihin sähköposteihin, aivan kuin käyttäjä lähettäisi vastauksen henkilökohtaisesti. Kun mato on saastuttanut yhden koneen yritysverkosta, se yrittää saastuttaa myös verkon muita Windows-työasemia, jos niiden käyttäjät ovat jakaneet koneidensa hakemistoja muiden käytettäväksi. Jos esimerkiksi käyttäjä nimeltä Matti Virtanen on saanut Jane Smithiltä sähköpostiviestin, jonka otsikkona on "Please check these numbers", niin Matin kone lähettää automaattisesti seuraavan näköisen viestin:
From: Matti Virtanen Liitetiedosto näyttää WinZipin arkistotiedostolta. Kun vastaanottaja yrittää avata tiedoston kaksoisnapauttamalla kuvaketta, hän näkee WinZipin virheviestin, joka kertoo arkiston rikkoutuneen. Sen lisäksi, että virus leviää kuin ketjukirje, se yrittää ylikirjoittaa dokumenttitiedostoja päälle kaikilla levyasemilla, joihin se pääsee käsiksi - verkkolevyt mukaan lukien. Jos vastaanottaja käyttää muuta sähköpostiohjelmaa kuin Microsoft Outlookia, ZippedFiles ei leviä edelleen. Se vahingoittaa kuitenkin käyttäjän tiedostoja. ZippedFiles toimii Microsoft Windows 95-, 98- ja NT -käyttöjärjestelmissä. - ExploreZip näyttää leviävän nopeasti, mutta ei niin nopeasti kuin Melissa, Data Fellowsin tutkimuspäällikkö Mikko Hyppönen sanoo. - Leviämistä edesauttaa se, että ZippedFilesin lähettämät viestit vaikuttavat hyvin luotettavilta: ne ovat tavallisen näköisiä vastauksia viesteihin, jotka vastaanottaja on itse lähettänyt aiemmin. Näin on todennäköistä, että vastaanottaja luottaa viestiin ja avaa tiedostoliitteen. Data Fellows on analysoinut ZippedFilesin uuden version ja tarjoaa virustentorjuntaohjelmistoihinsa päivityksen viruksen havaitsemiseksi ja tuhoamiseksi. Lisätietoja viruksesta ja päivitys ovat molemmat saatavilla web-osoitteesta http://www.DataFellows.com/zipped
TIMO KERVINEN
|