Crv MYTOB brzo se širi i u Mađarskoj
Trend Micro održava upozorenje srednje razine za najnovije inačice crva MYTOB - posljednje dvije verzije otkrivene su u mnogim zemljama, uključujući Mađarsku.
U posljednja 2 mjeseca, od objavljivanja 2005. veljače 26. godine, globalni centar za istraživanje i podršku tvrtke Trend Micro TrendLabs Trend Micro identificirao je više od 100 inačica crva MYTOB. Prema današnjim statistikama iz Vírushiradóa, u posljednjih 7 dana u Mađarskoj se pojavilo 39 inačica MYTOB-a koje su uzrokovale štetu, što je rezultiralo s ukupno 588.037 infekcija u sustavu pošte s besplatnom poštom. To čini gotovo 7% napada u posljednjih 30 dana, s ukupno zaraženom datotekom koja sadrži 2 milijuna e-adresa.
Način prijenosa MYTOB
Kao i prethodne verzije, i ovaj se crv s memorijom širi slanjem kopija sebe kao datoteke koja je dodana e-porukama primateljima putem vlastitog mehanizma za jednostavni protokol za prijenos pošte (SMTP). Jednom pokrenut, crv preuzima špijunski program koji postavlja oglase na računala žrtava. Crv također može otvoriti stražnja vrata i ima ugrađeni stick za internetski relejni chat (IRC) koji mu omogućuje povezivanje s određenim IRC poslužiteljem.
Taktika koja se koristi za širenje
Klasični - koristeći se taktikama koje koriste prednost vjerodostojnosti korisnika - MYTOB predstavlja se kao važna poruka za zadani poštanski sandučić - kao da je poruku poslao administrator. Crv može stići u više slova s različitim temama i osnovnim tekstom. Traži od korisnika da odgovori na e-poštu ako želi izbjeći onemogućavanje ili ukidanje poštanskog sandučića.
Preporuka stručnjaka za obranu Trend Micro
„Ovo nije prvi put da takvu taktiku temeljenu na vjerodostojnosti korisnika vidimo od proizvođača zlonamernog koda, a imena slavnih već su se prikazivala u zlonamjernim aplikacijama. Istodobno, sve veći broj špijunskog softvera i oglasa koji se koriste zajedno sa backdoor mogućnostima već je zabrinjavajući jer ovi programi omogućuju napadaču da prevari svoju žrtvu. Trend Micro preporučuje administratorima da onemoguće upotrebu nebitnih nastavaka datoteka, kao što su datoteke .exe, .pif i .scr, te krajnjim korisnicima da ne otvaraju sumnjive e-poruke i privitke te osiguravaju zadržavanje uzoraka antivirusnih datoteka do danas. " Rekao je David Kopp, voditelj TrendLabs EMEA.
Kupci tvrtke Trend Micro zaštićeni su od ove prijetnje korištenjem najnovije datoteke s uzorkom broj 2.653.00. Kupci usluga prevencije izbijanja bolesti mogu se zaštititi od širenja ove prijetnje preuzimanjem OPP 177 (ili novijih) pravila o prevenciji infekcije. Kupci koji koriste usluge čišćenja oštećenja mogu olakšati automatski oporavak zahvaćenih sustava preuzimanjem datoteke predloška 622.
Za ostale korisnike preporučujemo besplatnu internetsku antivirusnu uslugu Trend Micro, Housecall, koja je dostupna na http://housecall.trendmicro.com/.
WORM_MYTOB.BI i WORM_MYTOB.AR
Nakon pokretanja crva stavlja datoteku u mape sustava Windows, često nazvanu po poznatoj belgijskoj glumici Lien Van de Kelder. Špijunska komponenta, identificirana kao TSPY_AGENT.H, omogućuje napadaču da prati klikove miša na web mjestu špijunskog softvera mediatickets.net kako bi pratio stope zaraze i korisničke postavke.
