|
Suomalainen tietoturvatoimittaja F-Secure Oyj varoittaa torstaina löydetyn VBS/LoveLetter -madon uudesta versiosta. Virus leviää lähettämällä sähköpostiviestin, joka näyttää sähköisen kauppapaikan lahjatilauksen varmistukselta. F-Secure Anti-Virus -ohjelmiston uusin päivitys (imuroitavissa osoitteesta www.F-Secure.com) löytää ja tuhoaa LoveLetterin tunnetut versiot. Perjantain alkuiltapäivään mennessä VBS/LoveLetter -virusmadosta oli paikallistettu vapaana viisi erilaista versiota. Viikonlopun aikana on odottavissa vielä uusia muunnoksia. - Uusi Mother's Day -versio toimii ovelasti. Sen lähettämä sähköpostiviesti näyttää "Mother's Day diamond special" -lahjatilauksen varmistukselta ja mukana tuleva mothersday.vbs -niminen liitetiedosto on kuin siihen liittyvä lasku, tutkimuspäällikkö Mikko Hyppönen F-Securesta kertoo. - Jos vastanottaja saa tällaisen mailin, hän epäilee sitä virheeksi, ja todennäköisesti kuitenkin avaa liitetiedoston selvittääkseen virhetilauksen. Liitteen avaus päästää madon uudelleen liikkeelle. Hyökkäys on varsin uskottava koska äitienpäivä on vain viikon päässä. Mato saapuu sähköpostiin mothersday.vbs -nimisenä liitetiedostona. Windowsin oletusmääritysten takia .vbs-tiedostotarkennin ei kuitenkaan ole näkyvissä. Jos vastaanottaja avaa tiedoston, virus leviää Microsoft Outlookin (jos se on asennettuna) kautta kaikille osoitehakemistossa oleville vastaanottajille - mukaan lukien yritysten ja organisaatioiden jopa tuhansia osoitteita sisältävät hakemistot. Viruksen mukana tuleva/lähtevä viesti on seuraava: From: Tartunnan saaneen lähettäjän nimi To: osoitehakemistossa oleva nimi Subject: Mothers Day Order Confirmation Koska osoitehakemistoissa on yleensä erilaisia ryhmäosoitteistoja, yritykseen päässyt VBS/LoveLetter leviää ensimmäisen vastaanottajan kautta nopeasti koko organisaatioon. Seuraava liitetiedoston avaaja levittää viruksen omiin osoitteisiinsa ja niin edelleen, mikä ylikuormittaa sähköpostipalvelimen nopeasti. Lisäksi virusmato tuhoaa kaikki INI- ja BAT-systeemitiedostot paikallisilta ja verkkolevyiltä. Tämä voi estää järjestelmän uudelleenkäynnistymisen ja aiheuttaa vakavia vahinkoja lähiverkossa. F-Secure Anti-Virus -ohjelmisto tunnistaa tämä version nimellä VBS/LoveLetter.E. Se on kirjoitettu alkuperäisen VBS/LoveLetter -viruksen tavoin VBScript-kielellä. Virusmadon muut versiot tunnetaan nimillä VBS/LoveLetter.A, B, C ja D. A-versio on alkuperäinen VBS/LoveLetter -mato. B-versio on peräisin Liettuasta. Sen lähettämän sähköpostin viestikentässä on teksti: "Susitikim shi vakara kavos puodukui...", joka on suomennettuna suunnilleen "Tavataanko tänä iltana kahvikupin ääressä...". C-version lähettämän sähköpostin viestikentässä on teksti "fwd: Joke" ja iitetiedoston nimi on "Very Funny.vbs" D-versio on lähes samanlainen alkuperäisen VBS/LoveLetter -viruksen kanssa. Pienet muutokset on tehty luultavasti vain siksi, että se pääsisi joidenkin virustorjuntaohjelmien läpi. Tekninen kuvaus viruksesta löytyy F-Securen viruskuvaustietokannasta osoitteesta http://www.F-Secure.com/v-descs/love.htm Ruutuleikkeitä VBS/LoveLetter -viruksen saastuttamista sähköpostiviesteistä löytyy osoitteesta http://www.F-Secure.com/virus-info/v-pics/
IA
|