תולעת אינטרנט חדשה, המכונה סוון (Swen) התגלתה על ידי חברות האנטי-וירוס אשר מזהירות מפני התפשטותה. התולעת, מצורפת להודעת דואר אלקטרוני המציגה עצמה כהודעה שנשלחה מטעם חברת מיקרוסופט. התולעת מנצלת חור אבטחה ישן בדפדפן האינטרנט של מיקרוסופט, מתקינה עצמה על המחשב ומפיצה עצמה באמצעות דואר אלקטרוני, רשת ה-IRC וכן באמצעות תוכנת החלפת הקבצים, קאזה. יש לציין שהתולעת מנצלת חור אבטחה הקיים כמעט בכל מערכות ההפעלה של מיקרוסופט.
שולח ההודעה מציג עצמו כמחלקת התמיכה של מיקרוסופט. בחלק מההודעות שם שולח ההודעה הוא "MS Technical Assistance", באחרות הוא "Program Security Department" וכדומה. עם פתיחתה, נפתחת תיבת דו-שיח המבקשת מהגולש ללחוץ על כפתור "כן" כדי לאפשר את התקנת "הטלאי" (שהוא למעשה התולעת). למרבה הצער, גם אם המשתמש בוחר באפשרות "לא", התולעת מתקינה עצמה על המחשב.
לאחר התקנתה, התולעת מנטרלת את תוכנות האנטי-וירוס המותקנות
על המחשב, סורקת את כתובות הדואר האלקטרוני שאגורות בו ושולחת
עצמה אל כל הכתובות שמצאה. בנוסף, התולעת מציבה עותקים שלה
בתיקיית הקבצים המשותפים בתוכנת קאזה וכן שולחת עצמה למשתמשים
אקראיים ברשת הצ'אטים IRC. ככל הידוע, התולעת לא גורמת לנזק
ישיר למחשב או לקבצים המאוחסנים בו ואולם קשה להסירה כיוון
שהיא חוסמת את הגישה למנגנון עריכת ההגדרות הפנימיות של מערכת
ההפעלה (Registry).
במידה וקיבלתם את הודעת הדואר האלקטרוני המדוברת אך לא הופיעה
בפניכם תיבת הדו-שיח המבקשת להתקין את "קובץ הטלאי", אל דאגה.
כנראה שהספקתם להתקין בזמן את קובץ הטלאי האמיתי, המתקן את
חור האבטחה המנוצל במקרה זה ולכן אין חשש מהדבקות.
מיקרוסופט המודעת לתחביב של כותבי הוירוסים להתחזות לנציגי
החברה, קבעה מדיניות נוקשה לפיה היא לא שולחת בשום מקרה
הודעות למשתמשי המחשב. מסיבה זו, אין לפתוח כל הודעה המתחזה
להודעה שנשלחה מחברת מיקרוסופט. בנוסף, מומלץ לפנות לאתר
Windowsupdate.com כדי להתעדכן בקבצי הטלאי שמיקרוסופט מפרסמת
אחת לתקופה. עוד מומלץ לעדכן את הגדרות האנטי-וירוס במידה
ותוכנה שכזו מותקנת במחשב.
תולעת אינטרנט חדשה מתחזה לעדכון אבטחה
יובל דרור
19.9.2003 / 10:57