Powrót starych wirusów – nowe zagrożenie

Ataki w cyberprzestrzeni jeszcze kilka lat temu odbywały się najczęściej za pośrednictwem poczty elektronicznej – nieświadomi do końca zagrożenia użytkownicy naiwnie otwierali wszystkie wiadomości oraz klikali zawarte w nich linki, obiecujące nowe znajomości, wielkie wygrane czy odnalezienie w sieci przez starego znajomego. Dzisiaj mamy na to odpowiednie zapory, mamy antywirusy, które blokują tego rodzaju treści, jednak nie do końca możemy czuć się bezpiecznie. W Internecie pojawił się niedawno nowy wirus, wykorzystujący bardzo popularną ścieżkę, na której użytkownicy stracili czujność. Nowym wirusem jest W32.Imsolk.A@mm.

Na czym polega zagrożenie?

W wiadomościach zawierających wirusa znajdziemy łącze do pliku .PDF, który w rzeczywistości jest jednak wygaszaczem ekranu o rozszerzeniu .scr. Kliknięcie w niego powoduje rozesłanie zainfekowanych wiadomości do wszystkich osób znajdujących się w naszej książce adresowej, automatycznie również wyłączy wszystkie zapory antywirusowe. Podobnie działały szalejące w Internecie wcześniej takie wirusy jak ILOVEYOU, Nimda czy Anna Kournikova. Co gorsze, ten wirus potrafi dodatkowo rozprzestrzeniać się za pomocą nośników USB. Korzystanie z nich na publicznych komputerach może być więc obecnie zagrożeniem zarówno dla jednej, jaki drugiej strony.

Czym jest W32.Imsolk.A@mm?

Wirus, o którym słyszymy coraz częściej, jest robakiem pochodzącym z rodziny mass-mailerów, czyli wykorzystujących do rozprzestrzeniania się nie tylko napędy wymienialne oraz mapowane, ale w niektórych przypadkach potrafi wykorzystywać również udostępniane komunikatory internetowe. Uruchomienie wirusa powoduje utworzenie w systemie dwóch plików. Jednym z nich jest umieszczany w domyślnym katalogu systemy pod nazwą CSRS.exe, drugi – updates.exe, kierowanym do domyślnego katalogu systemowego. Zaraz potem przeszukuje katalogi Program Files na obu dyskach, usuwając katalog związany z napędem USB. Modyfikuje również te wpisy systemowe, które odpowiadają za bariery ochronne systemu. Robak zatrzymuje i usuwa usługi najpopularniejszych oprogramować antywirusowych: Arrakis3, Avast!, AntiVirFirewall, Antivirus, McAfee, AVG Security, Panda Software, Windows Defender oraz Symantec, zatrzymuje również wszystkie procesy związane z ich aktualizacją.

Jakich treści unikać?

Zaniepokoić powinny nas wszystkie maile, których tematy zaczynają się od: Here you have oraz Just for you. Niby brzmi to nieco dziwnie, szczególnie jeśli nie oczekujemy żadnej wiadomości mailowej napisanej po angielsku, a jednak dajemy się na nie złapać.