Spletni iskalniki ponovno na udaru računalniških virusov

V laboratoriju PandaLabs so odkrili pojav novega črva Mydoom.AO, ki za hitro širjenje izkorišča iskalnike. Iskalnike Google, Altavista, Yahoo in Lycos izkorišča za iskanje e-naslovov, na katere se potem pošlje. Na ta način lahko samo en okuženi računalnik razpošlje tisoče kopij črva v samo nekaj minutah. To pomeni, da je verjetnost okužb s črvom Mydoom.AO visoka.

Mydoom.AO uporablja tako imenovane tehnike socialnega inženiringa, da prepriča uporabnike, saj so sporočila videti kot obvestila o napaki pri dostavi e-pošte. V polju Zadeva se lahko pojavijo: “Message could not be delivered”, “Mail System Error – Returned Mail”, ali “Delivery reports about your e-mail”.

Sporočila so prav tako različna. Eno od možnih je:

“Your message (was not|could not be) delivered because the destination (computer|server) was (not|un)reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters (the text in brackets is variable).”

Ime priponke je izbrano naključno in ima eno od naslednjih končnic: ZIP, COM, SCR, EXE, PIF, BAT ali CMD.

Če se računalnik okuži, ustvari svojo kopijo z imenom JAVA.EXE in poišče e-naslove v imeniku “Windows address book”, začasnih spletnih datotekah in datotekah na računalniku z določenimi končnicami. Ko to naredi, izbere domene zbranih naslovov in jih uporabi kot iskalno geslo v iskalnikih Google, Altavista, Yahoo in Lycos. Na koncu se razpošlje na najdene naslove.

Črv ustvari tudi več zapisov v registrski mapi Windows, da zagotovi svoj zagon ob vsakokratnem zagonu sistema.

Glede na veliko verjetnost okužb Panda Software uporabnikom priporoča, da skrbno ravnajo z e-pošto in posodobijo svoje protivirusne programe. Panda Software je že naredila ustrezne posodobitve, tako da njeni proizvodi že prepoznavajo in onemogočajo to novo zlonamerno kodo.