Incepand de joi dupa-amiaza, virusul Sven a inceput sa se raspandeasca in tara noastra. Pana ieri seara, numarul de computere infectate ajusese la cateva mii, estimeaza specialistii in securitatea datelor. Virusul dateaza de cateva saptamani, dar a ajuns la noi cu destul de mare intarziere, din fericire. Spunem din fericire, pentru ca producatorii de antivirusi si-au updatat deja programele pentru a-l detecta sau anihila, asa ca nu mai reprezinta un risc major de contaminare decat pentru cei care nu au instalate astfel de programe. In orice caz, este bine de stiut ca virusul trimite automat mesaje de pe computerele infestate, iar aceste mesaje imita foarte bine insemnele companiei Microsoft. Mai exact, pare sa contina un attachment ce rezolva problemele de securitate ale Internet Explorer si Outlook Expres. De fapt, attachment-ul nu face altceva decat sa infesteze computerul celui care-l deschide.
Este bine de stiut ca Microsoft nu trimite niciodata patchuri sau utilitare de dezinfectie prin posta electronica. Intotdeauna, mesajele care va invita sa instalati un program continut in attachment sunt, de fapt, virusi.
-Incerci sa ma impiedici?-
Reprezentantii companiei Softwin, producatoarea antivirusului BitDefender, au anuntat apartia acestui virus, care se deghizeaza ca actualizare Microsoft. Cunoscut sub numele de Win32.Swen.A@mm (Sven) sau W32/Gibe@mm, acest vierme de Internet se raspandeste mai ales prin e-mail, dar nu evita nici alte mijloace precum newsgroup-uri sau fisierele partajate din KaZaA sau mIRC.
In general, soseste intr-un mesaj de e-mail, ale carui subiecte si corpuri de text pot varia, insa marimea atasamentului este intotdeauna de 106.496 bytes. Se activeaza prin simpla deschidere a atasamentului (in cazul raspandirii prin e-mail) sau atunci cand se executa un fisier infectat din directorul de download al mIRC sau KaZaA.
Cand ajunge sub forma unui mesaj e-mail, viermele de Internet se deghizeaza sub forma unui patch oferit de Microsoft. Mesajul e-mail pare a fi real si reuseste sa induca utilizatorul in eroare pentru ca acesta sa deschida atasamentul infectat .
La instalare, virusul verifica daca ruleaza deja in sistem. In cazul in care descopera prezenta vreunui seaman care a infectat sistemul respectiv, afiseaza urmatorul mesaj: -This update does not need to be installed on this system.- . In momentul in care se incearca analizarea sa cu un program special, acest vierme afiseaza mesajul: -Try to pull my legs?- – in traducere: -Incerci sa ma impiedici?-.
Una peste alta, este un virus destul de evoluat: poate culege adrese de e-mail din Windows Adress Book si foloseste propria masina SMTP pentru a se raspandi. Asta insemna ca nu este nevoie sa deschida Outlook sau un alt program de mail.
Atac pe toate fronturile
Cand utilizatorul acceseaza atasamentul infectat, viermele preia controlul si se instaleaza in sistem. Dupa aceea, falsifica o eroare in Windows Messaging API (MAPI) si cere utilizatorului sa introduca informatii confidentiale, ca de exemplu: parole, conturi, servere SMTP etc. In plus, incearca (si uneori reuseste) sa dezactiveze programul antivirus instalat pe computerul victima, in cazul in care acesta nu este cu -update-ul- la zi.
Viermele de Internet utilizeaza totodata servere de stiri, lista fiind pastrata ca resursa, impachetata cu MS-Compress in interiorul sectiunii de resurse ale virusului. Pentru aceasta, incearca sa se posteze pe un server de stiri ales aleator dintr-o lista de 350 de servere.
In cazul in care computerul dumneavoastra a afisat unul din mesajele aratate in fotografiile de mai sus, trebuie sa descarcati un utilitar de dezinfectie ce poate fi gasit gratuit la adresa: www.bitdefender.ro/bd/site/virusinfo.php?menu_id=1&v_id=153#.
Informațiile transmise pe www.curentul.info sunt protejate de dispozițiile legale incidente și pot fi preluate doar în limita a 500 de caractere, urmate de link activ la articol.
Sunt interzise copierea, reproducerea, recompilarea, modificarea precum și orice modalitate de exploatare a conținutului publicat pe www.curentul.info
