Nov virus se pretvarja da je WGA

Virus, ki se predstavlja kot kontroverzna Microsoftova proti-piratska programska oprema se širi po AOL-ovi mreži Instant Messenger, čeprav se zdi, da gre bolj za nagajanje Microsoftu, kot za pravo grožnjo, je škoda ob okužbi lahko vseeno zelo velika.

Samo sporočilo se ne pretvarja, da je od znanega uporabnika, saj pride od neznanega pošiljatelja. Virus nato pride v obliki linka v sporočilu in uporabnikov računalnik okuži, če je ta dovolj naiven, da ga klikne.

Ko enkrat okuži računalnik, se virus registrira kot nov sistemski gonilnik imenovan »wgavn« in ima javno ime »Windows Genuine Advantage Validation Notification«. Če ga želi uporabnik izklopiti, mu javi da odstranitev ali zaustavitev procesa lahko povzroči nestabilnost sistema.

Za razliko od legitimnega programa WGA, ta virus predstavlja resno grožnjo, saj onesposobi Windows požarni zid in odpre ‘stranska vrata’ do okuženega računalnika.

»Če ga dobite, je ravno tako nevaren, kot katerikoli drug,« je povedal Randy Abrams, direktor tehničnega izobraževanja pri Eset Software, izdelovalcu NOD32 Antivirusa. »Res da ne napade vašega BIOS čipa, niti ne krade bančnih podatkov, a ko imate enkrat odprta stranska vrata, se zlahka dobi kakšnega bota ali še kaj več.«

ESETovi proti-virusni strokovnjaki so prvič slišali za WGA impersonatorja, poimenovanega Win32/IRCBot.OO 29. junija, svoj primerek pa so dobili 1. julija. Ampak Abrams priznava, da ni bil prioritetno obdelan, saj kar se tiče groženj, je ta šele na 1.400-tem mestu na Esetovi lestvici groženj.

»Izbira imena je očiten znak, da gre za napad na WGA. Cilj torej ni toliko napadati uporabnike, kot ustvarjati slabo publiciteto za Microsoft«, je dodal Abrams.
Windows Genuine Advantage je sporen pripomoček Windows XP, ki potrjuje, da namestitev ni piratska. Izzval je jezo uporabnikov in dve tožbi zaradi dejstva, da Microsoft ni razkril, kaj pravzaprav počne. Prav tako so bili uporabniki prisiljeni prenesti WGA, ali pa se odreči nekaterim Microsoftovim popravkom programske opreme.

Abrams ugotavlja, da je trenutno več imen za isti virus, kot je samih okužb. Gre za večni problem proizvajalcev protivirusne opreme; vsak proizvajalec poimenuje virus po svoje. Ko se pojavi nov virus, je prva skrb najti rešitev, ne skrbeti za protokol poimenovanja je še poudaril Abrams.

Po spisku imen virusov na AV-test.org, AVG imenuje virus Worm/Opanki.IP; BitDefender mu pravi Backdoor.IRCBot.JV, F-Prot ga prepoznava kot novo različico W32/Threat-HLLIM-based!Maximus, Kaspersky ga imenuje Backdoor.Win32.IRCBotst, McAfee ga je poimenoval W32/Opanki.worm.gen, Sophos pa ga pozna kot W32/Cuebot-K.