SobigF - a rekorddöntő vírus
Kovács Barna
2003/09/01 21:14
715 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Az idei nyár kellemetlen meglepetése a Sobig.F vírus. A nyári szünetről visszaérkező emailezésre és internetezésre "éhes" tanárkollégák és diákok "segítségével" újra megismétlődhetnek a rombolásai az iskolai hálózatokon is. Cikkünkben a vírus hatástalanításával és hasznos segédeszközök megismerésével foglalkozunk.

Sobig.F - a kéretlen levelek küldője

A Sobig.F személyében egy újabb rekorddöntő vírust ismerhetünk meg, amely sok kényelmetlenséget okozhat. A terjedési sebessége szintén magas, 2 nap alatt többszázezer gépet támadott meg. Jó hír, hogy a szakértők szerint szeptember 10-én deaktiválódik, de addig még sokaknak megkeseríti az életét.


Hogyan terjed?


A program e-mailben, és a megosztott hálózati kapcsolatokon terjed. A terjedés sebessége arra engedne következtetni, hogy vannak olyan biztonsági rések a levelezőprogramokban, amelyek eddig nem kerültek nyilvánosságra. Bizonyára ez is előfordulhat, de a Sobig.F -nek nem kell ilyen trükkökhöz folyamodnia, hiszen van egy nagyon jó partnere a terjedésben, akit úgy hívunk: "gyanútlan felhasználó." A gyanútlan felhasználót onnan ismerhetjük fel, hogy gondolkodás nélkül megnyit minden e-mailt, amely a postaládájába érkezik, akkor is, ha ismeretlen a feladó, és a levél tárgya is "gyanús". Természetesen a gyanútlan felhasználó egy jelentősebb (számítógépes) vírusfertőzés hatására körültekintő felhasználóvá tud válni. (Megjegyzés: a szerző maga is átesett ezen az evolúciós folyamaton :-) )

A féreg akkor aktivizálódik, amikor a felhasználó megnyitja a levélhez csatolt állományt. A fertőzést követően a vírus átvizsgálja a számítógépet olyan e-mail címek után kutatva, amelyeket felhasználhat a további fertőzéshez. (A féreg a TXT, .EML, .HTML, .HTM, .DBX, WAB, MHT és HLP kiterjesztésű állományokat vizsgálja át az összes elérhető lemezegység összes könyvtárában) Ezt követően az SMTP szerver segítségével elküldi önmagát a megtalált e-mail címekre hamis feladóval.

Az alábbi táblázatban láthatjuk a vírust tartalmazó elektronikus levelek főbb tulajdonságait:
Amennyiben a vírus hálózati kapcsolatok segítségével terjed, bemásolja magát az operációs rendszer indítópult (Startup) könyvtárába. Aggodalomra adhat okot, hogy a féreg képes magát frissíteni és más - veszélyes - alkalmazásokat telepíteni.


Hogyan lehet eltávolítani?

1. Rendszergazdai jogokkal kell bejelentkezni a számítógépre
2. Me/XP rendszereken átmenetileg ki kell kapcsolni a rendszer-visszaállítási szolgáltatást (különben előfordulhat, hogy egy visszaállítás során a vírus újra aktiválódik)
3. Le kell tölteni az ellenszert 4. Be kell zárni minden más programot 5. Ha a gép hálózati kapcsolatban van, átmenetileg meg kell szüntetni a kapcsolatot. 6. El kell indítani a FixSbigF.exe fájlt, amelyet a 3-as pontban töltöttünk le. 7. Amennyiben a program azt jelzi, hogy néhány állományt nem tud eltávolítani, a gépet csökkentett módban kell elindítani, és újra kell futtatni az ellenszert 8. Újra kell indítani a gépet. 9. Vissza lehet állítani a rendszer-visszaállítási szolgáltatást

Hogyan védekezhetünk a kéretlen levelek tömkelegétől?
Szerencsés esetben elképzelhető, hogy az e-mail szolgáltató kiszűri a vírusos leveleket, ezért azok nem jelennek meg a felhasználó postafiókjában. Amennyiben ez nem történik meg, akkor magunknak kell gondoskodnunk a vírusos állományok szétválogatásáról, törléséről. A lehetőségek levelezőprogram-függőek, de ma már elmondható, hogy a programok többsége rendelkezik üzenetszabály készítési lehetőséggel, pl. az Outlook Express programban az Eszközök/Üzenetszabályok/Levelezés menüpontot kiválasztva egyszerűen megfogalmazhatunk ilyen szabályokat. Természetesen ez a megoldás is hátrányokkal jár, hiszen ahhoz hogy a szabály érvényesülni tudjon, le kell tölteni a leveleket. Mivel a csatolt állományok nagysága hozzávetőlegesen 70 Kb, ez jelentősebb e-mail áradat esetén lassú letöltést eredményezhet. Ebben segíthetnek azon programok, amelyekkel csatlakozhatunk a POP3 levelezőszerverhez, és a levél fejléce alapján eldönthetjük, hogy meg akarjuk-e tartani a levelet, vagy letöröljük azt. Ha az általunk használt levelezőprogram nem rendelkezik ilyen szolgáltatással, akkor használhatunk különböző segédprogramokat is. Ilyen program a QuickDelete 3.1 is, amelyet a http://www.yeti-soft.de/eng/ címről lehet letölteni. (A Download menüpontot kell kiválasztani.) Letöltés és installálás után a program egy regisztrációs kulcsot kér, amelyet ingyenesen beszerezhetünk a fenti weboldal Key menüpontjára kattintva, megadva egy felhasználói nevet. Ha ez megtörtént, akkor a kulcs megadása után elindíthatjuk a programot. A POP3 szerverünk megadásához válasszuk ki a Server/Server Data/ Add menüpontot. Ebben az ablakban meg kell adnunk a POP3 levelezőszerver adatait. A kapcsolatnak adhatunk egy nevet (Connection name), meg kell adnunk a szerver nevét, vagy IP címét (Server name) és a felhasználói nevet (user name). Ezek után nyomjuk meg a Create (Készít) gombot. A programablak bal felső sarkában látható, hogy a listában szerepel az imént megadott kapcsolat, már csak a Connect (Kapcsolódás) gombot kell megnyomnunk. Ezek után meg kell adnunk a jelszavunkat. Ha mindent jól csináltunk, akkor letöltődnek a leveleink fejlécei, amelyekből eldönthetjük, hogy a levél vírusos-e, vagy nem. Amennyiben igen, akkor az üzenetet törölhetjük a Delete (törlés) gomb megnyomásával.

Amennyiben a levelezőszerverünkön található e-mailszűrő-eszköz, akkor még a szerver oldalon szétválogathatjuk a leveleinket. Ilyen eszközök pl. a procmail, vagy Sieve. Az alábbiakban egy egyszerű Sieve szkriptet láthatunk, amely a Sobig.F vírus által küldött, megadott tárgyú leveleket figyelmen kívül hagyja, a többit pedig megtartja és egy másik e-mail címre is továbbítja:


if anyof (
header :contains ["Subject"] "Re: Details",
header :contains ["Subject"] "Re: Approved",
header :contains ["Subject"] "Re: Re: My details",
header :contains ["Subject"] "Re: Thank you!",
header :contains ["Subject"] "Re: That movie",
header :contains ["Subject"] "Re: Wicked screensaver",
header :contains ["Subject"] "Re: Your application",
header :contains ["Subject"] "Thank You",
header :contains ["Subject"] "Your details")
{discard;}
else
{
redirect "masik@cim.hu";
keep;
}


Tanulságok

Amennyiben a kapott e-mailjeinket kritikus szemmel nézzük, a gyanús küldeményeket kiszűrjük, akkor lecsökkentjük a veszélyét annak, hogy magunk is áldozatok legyünk. Ehhez használhatunk segédprogramokat is, amelyek ugyan körülményesebbé tehetik a levélolvasást, de nagyobb kellemetlenségektől kímélhetnek meg minket.

Természetesen az is követelmény, hogy rendelkezzünk egy megbízható vírusirtó programmal, amelynek adatbázisát legalább hetente egyszer frissítjük. Sorozatunk következő részében ingyenes vírusirtó programok lelőhelyeit gyűjtjük össze, a legfontosabb tudnivalókkal egyetemben.


Kapcsolódó linkek:

Abonyi-Tóth Andor

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek