Pojav črva v sporočilih pod pretvezo dopisnice

Pandini laboratoriji so na območju Latinske Amerike v zadnjih 24 urah zaznali številne incidente, ki jih je povzročil trenutno novi črv Mepe.A , ki se širi z uporabo nujnih sporočil za programe. Da bi lahko sledili dogajanju v zvezi s tem črvom, lahko obiščete enciklopedijo Pande Software na strani http://enterprises.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=90325

Ta španski črv je ustvarjen, da se pojavi kot sestavni del Shockwave Flash datoteke, ki pa seveda to v resnici ni. Ko to datoteko uporabnik zažene, se prikaže sporočilo, ki trdi, da je bila izvedba ukaza neuspešna. Kakorkoli že, pa ustvari serijo kopij same sebe v sistemskem direktoriju, poleg tega pa ustvari tudi serijo registracijskih gesel, ki omogočajo, da se program zažene ob vsakem zagonu sistema. Ustvari tudi datoteko v osnovnem direktoriju, ki vsebuje frazo v španščini “Dios sólo nos dio un 1 y un 0, y con eso, hemos construido un universo” (Bog nam je dal samo eno enico in eno ničlo in s tem smo ustvarili vesolje).

Ta črv se širi z uporabo aplikacij nujnih sporočil. Ko se uporabnik poveže s to aplikacijo, črv poišče aktivna okna z naslovom “Pogovor” (“Conversation”) in pošlje sporočilo v španščini, ki povabi uporabnika, da si prenese dopisnico(razglednico, kartico) z znane internetne strani: “te mandaron un recado conmigo, ya te has de imaginar quien y si no sabes me dijo que no te dijera quien, me dijo que te lo escribio en una postal y que de aqui la abras www.[omitido].com ,bueno yo ya cumpli e?”. (Bil sem naprošen, da ti posredujem sporočilo in tvoja naloga je, da uganeš od koga je, brez moje pomoči. Spročilo te čaka na: www.[omitted].com. Storil sem, kar mi je bilo naročeno – a ne?). Link, ki je bil posredovan uporabnika usmeri na internetno stran, ki vsebuje kopijo črva, tako da ga prenese na računalnik in ga s tem okuži.

Še več, Mepe.A tudi kontrolira vse operacije, ki se izvajajo z namenom da bi zaprli okno. Uporabnika obvešča z besedami v španščini “Administrador de tareas de Windows”, “Panel de Control”, “Editor del Registro”, “Utilidad de configuración del sistema”, in “Restaurar Sistema”, tako da uporabnik ne more končati procesa, povezanega s črvom.

Pandini laboratoriji so že kontaktirali podjetja, katerih serverji so bili ogroženi s tem črvom, tako da so deaktivirali njihov URL in s tem zaustavili črva pred povzročanjem in širjenjem okužb.