Ez az egyszerű módszer ma már nem járható út a hackerek számára, hiszen a potenciálisan veszélyes típusú fájlmellékletek többnyire át sem jutnak a levelező átjárók és kliensek szűrőin. Emiatt a legújabb - és máris meglepően eredményes - próbálkozásukhoz inkább a webalapú fertőzéssel kombinált módszert választották.

A Symantec biztonsági cég által Imsolk.A/B trójainak elnevezett új fenyegetést csütörtök esti állapot szerint a legelterjedtebb negyven víruskereső alig egyharmada tudta felismerni és ők is többnyire általános heurisztikus eljárással detektálták: az F-Secure cég terméke például "Trojan.Gen.Heuristic.rm0@fnBStPoi" jelzéssel blokkol. Emiatt a meglepetésszerűen felbukkant féreg közkeletű elnevezése még változhat.

A veszélyes spam levél általában "Here You Have" vagy hasonló egyszerű tárgysorral érkezik és webes linket tartalmaz - amely azonban az ígért dokumentum helyett egy feltört oldalról érkező, képernyővédő kiterjesztésű futtatható fájlra mutat (például PDF_Document21_025542010_pdf.scr).

Amennyiben a felhasználó rákattint erre a linkre és víruskeresője nem naprakész, vagy még nem ismeri fel a kártevőt, akkor régebbi, frissítetlen operációs rendszer esetén megtörténhet, hogy a féreg aktivizálódik és a Windows registry-ben változtatásokat végez. A kártevő ezután CSRSS.EXE néven beírja magát a Windows könyvtárba, sőt egyes jelentések szerint más mappákba is ff.exe, gc.exe, hst.iq, ie.exe, im.exe, op.exe, pspv.exe, rd.exe, re.exe, re.iq, tryme1.exe vagy vb.vbs néven. Érdemes ezenkívül figyelni a merevlemezen illetéktelen helyen felbukkanó "svchost.exe" és bárhol előfordulható Nimage.jpg.scr formátumú állományokra is.

A féreg ezen felül a C:\Windows\system könyvtárat és más, már létező SMB helyi hálózati megosztásokat is kártevő-terjesztő útvonallá változtathat, mindegyiken elhelyezve egy-egy példányát, például autorun.ini és updates.exe néven. Lehetséges, hogy a fertőzés az autorun mechanizmus segítségével USB memória-kulcsokon keresztül is fertőzőképes.

A mentesítés megnehezítése céljából az ártó kód a gépen futó biztonsági szoftvereket is leállítja, akadályozhatja a Windows Group Policy eszközök használatát, illetve további megfertőzhető áldozatok után kutatva ellopja az Outlook levelezőprogram címjegyzékét.

Mivel a fertőzés további kártevők letöltésére is képes a neten keresztül, a SANS netbiztonsági központ kutatói egy nagyobb járvány megelőzése érdekében megpróbálták hatástalanítani a féreg által használt webes erőforrásokat. Az eredeti terjesztési hullámban használt címeken, mint pl. a a kártevő már nem elérhető.

A vírusírók azonban még készíthetnek új variánst - sőt egyes felhasználók tapasztalata szerint ez már meg is történt - így a veszély nem múlt el. Eközben külföldi cégektől már bejelentések érkeztek több mint 300 gép újratelepítéséhez vezető Imsolk ("Here You Have") vírus-kitörésről, ezért a veszélyt érdemes komolyan venni!

Virushirado.hu