Uusia tietokoneviruksia liikkeellä

Neljä uutta laajasti leviävää verkkomatoa havaittiin kahden päivän sisällä. Suurin osa virustentorjuntaohjelmista ei kykene havaitsemaan uusia viruksia.

- Epätavallista on, että parissa päivässä löytyy neljä uutta virusta, jotka kaikki onnistuvat leviämään laajasti, kertoo tutkimuspäällikkö Mikko Hyppönen F-Securesta.

Lirva-mato tunnetaan myös nimellä Arvil. Tämä sähköpostimato leviää usealla eri tavalla. Sähköpostin lisäksi mato leviää ICQ- ja IRC-keskusteluverkkojen ja Kazaa-tiedostonvaihtoverkon kautta.

Lirva pyrkii tekemään useita virustentorjuntaohjelmia toimintakyvyttömiksi. Lisäksi se yrittää varastaa salasanoja ja lähettää niitä eteenpäin valitsemiinsa sähköpostiosoitteisiin.

Lirvan lähettämät sähköpostit vaihtelevat, mutta niissä on usein maininta Avril Lavignesta. Madon kirjoittajaksi epäillään kazakstanilaista kyseisen artistin ihailijaa.

Kun Lirva aktivoituu, se yrittää avata Avril Lavignen kotisivun ja käynnistää värikkäitä liikkuvia ympyröitä sisältävän graafisen esityksen.

Lirva.B on hyvin paljon alkuperäisen Lirvan kaltainen. Viruksen koodia on muokattu, jotta torjuntaohjelmat eivät tunnistaisi sitä.

Myös se vaihtaa lähettämiinsä sähköposteihin viattoman ulkopuolisen lähettäjätiedot saastuneen koneen omistajan tilalle. Tartunnan saaneen käyttäjän oikea sähköpostiosoite löytyy kuitenkin usein viestin otsikkotiedoista Return-Path-kohdasta.

Tekaistuja sähköpostivastauksia

Liikkeellä oleva ExploreZip.E-viruksen uusi versio on muunnettu niin, että suurin osa virustentorjuntaohjelmista ei kykene havaitsemaan sitä. Madon toimintatavat ovat silti pysyneet samana.

Kaikki ExploreZip-variantit leviävät sähköpostin liitetiedostoissa ja tuhoavat Microsoft Office -dokumentteja saastuneista koneista ja sen lähiverkosta. Mato leviää lähettämällä saastuneella liitteellä varustettuja tekaistuja vastauksia sähköpostiviesteihin, joita ei vielä ole luettu.

Sobig on sähköposti- ja verkkomato ja lähettää itsensä eteenpäin sähköpostissa PIF-liitteenä. Viestin lähettäjä on tyypillisesti "big@boss.com". Madossa on myös ominaisuus, jonka avulla viruksenkirjoittaja pystyy etäohjaamaan saastuneita koneita.

STT