אם אתם מקבלים אימייל המציע לכם להוריד גרסת בטא 2 של דפדפן האינטרנט אקספלורר 7, מחקו אותו. וירוס חדש מסתובב ברשת ומתחזה לגירסת בטא של הדפדפן החדש של מיקרוסופט.
מומחי אבטחה מדווחים כי נכון ליום שישי האחרון, אין נזק נרחב מהווירוס החדש, אולם יש לשים אליו לב משתי סיבות: הודעת האימייל כוללת גרפיקה משכנעת ביותר, שעלולה לגרום למקבל לחשוב שזה אכן אימייל ממיקרוסופט. כמו כן, הווירוס פולש למערכת כאשר מקבל ההודעה לוחץ על קישור המשולב בהודעה, ולא כאשר הוא פותח קובץ המצורף אליה - עובדה זו הופכת את מלאכת הזיהוי והסינון שלו לקשה יותר.
"האפשרות להפיץ וירוסים באמצעות קישורים הופכת להיות פופולרית בקרב האקרים - זו שיטה חדשה יחסית, והיא עובדת טוב יותר מאשר שליחת קובץ", מסביר מיקו היפונן, מנהל מחקר בחברת F-Secure.
הודעות האימייל נושאות את הכותרת "Internet Explorer 7 Downloads", ומתקבלות כביכול מ-admin@microsoft.com. הן כוללות עיצוב גרפי בגווני כחול, המזכיר את העיצוב של מיקרוסופט, ומציעות למקבל להוריד את גרסת בטא 2 של האקספלורר 7. לחיצה על הקישור הגרפי תוריד אל המחשב קובץ הרצה בשם IE7.exe.
בפועל, הקובץ IE7.exe מכיל וירוס חדש בשם Virus.Win32.Grum.A. מומחי אבטחה עדיין מנתחים את הווירוס החדש כל מנת להבין אילו נזקים הוא גורם. על פי נתונים מחברת סופוס (Sophos PLC), הווירוס יכול לשלוח את עצמו לכל האנשים המופיעים בפנקס הכתובות של המחשב הנגוע.
הווירוס מבצע שינויים ב-Registry על מנת להבטיח שיותקן בצורה מלאה, וכן מנסה להוריד קבצים נוספים דרך הרשת - כך לדברי גראהם קלולי, יועץ טכנולוגיה בכיר בסופוס.
לדברי קלולי, מאפיינים נוספים של הווירוס אינם ידועים בשעה זו. וירוסים מסוג זה מתקינים במקרים רבים מנגנון המתעד אילו מקשים נלחצים על ידי המשתמש, זאת על מנת לגנוב מידע אישי וסיסמאות.
"איננו יודעים עדיין דבר על מקורו של הווירוס", אומר היפונן. "הוא בנוי בצורה מקצועית למדי וקשה לפצח אותו בעזרת הכלים הרגילים".
F-Secure קיבלה דיווחים רבים על הגעת האימייל החדש, אך מספר נמוך יחסית של דיווחים על מחשבים נגועים, דבר המצביע על נזק מוגבל בלבד בשלב זה. קלולי מסכים לאבחנה - "לא הייתי מסווג את הוירוס הזה כאחד הגדולים של השנה, אך אין זה אומר שהוא לא מהווה איום".
גילויו של הווירוס החדש על ידי תוכנות אנטי וירוס היה חלקי בלבד, כך לפי נתונים של חברת Sunbelt, הנכונים ליום חמישי בערב. ספקי תוכנות אנטי וירוס רבים עדיין לא היו מודעים לבעיה אור ליום שישי, טוען היפונן. לדבריו, F-Secure, כמו גם חברת סופוס, כבר חוסמות את הוירוס החדש, ושאר הספקיות צפויות ללכת בעקבותיהן בזמן הקרוב.
מקורו של הווירוס במספר שרתים הנמצאים במקומות שונים ברחבי העולם, דבר שיגדיל את פרק הזמן הנחוץ על מנת לזהות את השרתים ולנקותם. לדברי היפונן, מדובר ככל הנראה בשרתים שנפרצו על ידי האקרים. אדמיניסטרטורים מתבקשים לבדוק ולוודא שהשרתים שלהם אינם נגועים אף הם בוירוס.
וירוס חדש מתחזה לגרסת בטא של דפדפן אקספלורר 7; הפעלתו מתבצעת על ידי לחיצה על קישור המגיע בדואר אלקטרוני
IDG
1.4.2007 / 16:26