Πρόσφατα εντοπίστηκε η ύπαρξη ενός νέου worm που εμφανίζεται στην εφαρμογή Messenger της εταιρίας Yahoo. Τα υποψήφια θύματα δέχονται μηνύματα,υποτίθεται από άτομα που βρίσκονται στη λίστα των φίλων τους, τα οποία περιέχουν ένα σύνδεσμο που ψευδώς παραπέμπει σε φωτογραφία, όμως στην πραγματικότητα οδηγεί σε ένα κακόβουλο εκτελέσιμο αρχείο.
Η σελίδα στο τέλος του συνδέσμου δεν δείχνει καν ότι ο χρήστης παραπέμπεται στην εγκατάσταση του worm για να πιστέψει ακριβώς ότι πρόκειται να ανοίξει όντως μια φωτογραφία κάποιας επαφής του. Στην πραγματικότητα όμως με το κλικ αυτό, θα ''τρέξει'' την εγκατάσταση του worm.
Όταν δυστυχώς ο χρήστης κλικ- άρει τον σύνδεσμο, το προεπιλεγμένο πρόγραμμα περιήγησης κατευθύνει το θύμα να ''σώσει'' ένα αρχείο με παραπλανητικό όνομα. Βέβαια, η κατάληξη του αρχείου φαίνεται στην συγκεκριμένη φάση ότι είναι ''exe'' (εκτελέσιμο).
Με την εκτέλεση του, το σκουλήκι αντιγράφει τον εαυτό του στο: ''%WinDir%\infocard.exe'' και μετά προσθέτει τον εαυτό του στη λίστα του τείχους προστασίας των Windows, σταματάει τις ενημερώσεις του λειτουργικού και τέλος, εγγράφεται στην αυτόματη εκκίνηση με κλειδί στο μητρώο: ''HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\“Firewall Administrating” = “%WinDir%\infocard.exe”.
Ύστερα, δίνoντας την εντύπωση της πραγματικής εφαρμογής του Yahoo Messenger, στέλνει μηνύματα σε όλα τα άτομα που βρίσκονται στη λίστα επαφών του θύματος. Υπάρχει και η πιθανότητα να ''κατεβάσει'' και άλλο κακόβουλο λογισμικό από το διαδίκτυο.
Όταν εκτελεστεί για πρώτη φορά, το σκουλήκι για να μπερδέψει προφανώς τον χρήστη και να αποκρύψει την μόλυνση, ανοίγει έναν σύνδεσμο ( browseusers.myspace.com/Browse/Browse.aspx) στον οποίο όντως φαίνονται κάποιες φωτογραφίες.
Η Symantec εντόπισε και απέκρουσε αυτή την απειλή με το όνομα: W32.Yimfoca.
Προτείνουμε στους χρήστες της εφαρμογής Yahoo! Messenger να είναι ιδιαίτερα προσεκτικοί και ειδικότερα στους τύπους των αρχείων που ανοίγουν αλλά και επιφυλακτικοί σε κάθε είδους συνδέσεις που προέρχονται ακόμα και από τη λίστα επαφών τους. Πολλές φορές μπορεί να αποφευχθεί η μόλυνση κάνοντας μια απλή ερώτηση στον ''φίλο'' μας αν όντως αυτός έστειλε τον συγκεκριμένο σύνδεσμο ή όχι.
virus.gr
Αναρτήσεις
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου