זהירות, וירוס חדש מתחפש להודעה מחברת האנטי-וירוס שלכם

הודעת האימייל תזהיר אתכם מפני תולעת בה נדבקתם ותמליץ על לינק להורדת כלי הסרה חינמי, אך למעשה לחיצה על הקישור תוריד למחשב שלכם תוכנה זדונית שמתחפשת לקבצי ג'אווה

הווירוסים מכים שוב, והפעם בבטן שחשבנו שהיא הכי קשיחה: לאחרונה התברר כי אימיילים שהגיעו מכמה מהגדולות שבחברות האנטי-וירוס התבררו כנושאים וירוס מרושע במיוחד בעצמם. בין החברות שנפגעו: סימנטק, סופוס, ועוד.

צילום ההודעה מאתר וובסנס

השיטה היא כזו: אתם מקבלים מייל שנראה בדיוק כמו זה ששולחות החברות על מנת להזהיר אתכם שהחשבון שלכם עשוי להיחסם. זה נראה תמים, אבל למעשה מדובר בתוכנה זדונית של ממש.

זה רק נראה תמים

פושעי הרשת עושים פה שימוש באחד הטריקים הידועים ביותר בעולם. ההודעה טוענת שהחשבון שלכם שולח אימיילים נגועים לשרת, ולכן עליכם ללחוץ על לינק שיוביל אתכם לכלי הסרה חינמי. אבל בפועל, הלינק מוביל לשרת כלשהו היושב בברזיל, ולמעשה מוריד קובץ התקנה זדוני, המקושר לאתרים זדוניים עוד יותר, ולסיום גורם להורדת עוד ועוד תוכנות שממש לא הייתם רוצים לראות אצלכם במחשב.

האימייל המזויף, שנחשף על ידי חברת האבטחה וובסנס, מכיל את הביטוי "מערכת סריקה", אבל כמובן ששום סריקה לא התרחשה. לפי האזהרה שתקבלו, אתם נגועים בתולעת בשם W32.Swizzor.C-WORM, אבל למעשה כל שתעשו הוא להדביק את המחשב שלכם בווירוס שנקרא RemovalTool.exe, שאת פרטיו תוכלו לקרוא ממש כאן.

לאחר שהורדתם את התוכנה הזדונית, היא תוריד למחשב שלכם שני קבצים שלמעשה מהווים הסוואה. מדובר בתוכנת רפש של ממש, אך היא מתחפשת לקובצי ג'אווה תמימים. לכן, אם תשימו לב שאחד מבין שני הקבצים הבאים נמצא במחשב שלכם, אנא הפסיקו את ההורדה באופן מיידי:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\L92WDWXT\Plugin[1].dll
C:\Documents and Settings\Administrator\Application Data\Java Update\JavaUpdate.dll

אחת העובדות היותר משונות היא שעל אף שהווירוס נועד לתקוף ישירות באמצעות הודעות מזויפות מחברות האנטי-וירוס, הוא מחקה למעשה חלק קטן מבין 42 החברות המוכרות יותר כספקיות שירות מעין זה. המסקנה עשויה להיות כפולה. או שמתכנני הווירוס כיוונו לפגוע בחברות מסוימות באופן נקודתי, או שלקוחות החברות האחרות עשויים להיות שאננים וליפול בפח אף הם.

איך תוכלו להימנע מפגיעה ישירה? נכון לעכשיו המיילים הנגועים נושאים את הכותרת הבאה:
“[Symantec]/F-secure]/[Sophos]/[SecureRoot]/[VeriSign] – Your e-mail account may be blocked.”
עם זאת, שימו לב שהפושעים הארורים יכולים לשנות אותה בקלות. כאמור, ייתכן שחברות אבטחה אחרות יעלו אף הן על המוקד, אך עד כה הגיעו הווירוסים מכתובות המייל הבאות, מהן יש להיזהר:
•    scanner@symantec.com
•    scanonline@f-secure.com
•    symantec@verisign.com
•    scan@sophos.com
•    symantec@sophos.com
•    virscan@secureroot.com
•    noreply@verisign.com

החדשות הטובות, יחסית, הן שככל הנראה מדובר בקמפיין מרושע קטן ממדים, שכן עד כה חסמה וובסנס במהלך היומיים האחרונים "רק" כמה אלפים של מיילים זדוניים שכאלה, בניגוד לכמה מיליונים בווירוסים מאסיביים יותר.

ואיך אפשר בלי האזהרה הקבועה: אל תפתחו קבצים מצורפים לאימיילים שאינכם בטוחים במאת האחוזים בזהות שולחיהם. כמו כן, אל תלחצו על שום לינק שמגיע מכתובת בלתי ידועה. שימו לב גם לכך שחברות האנטי-וירוס נוטות להקפיץ הודעות אזהרה על המסך כאשר יש בכך צורך, הן ממש לא משתמשות בדרך של שליחת מייל אזהרה, אז אם קיבלתם אחד, זו כנראה תולעת.

נועה זהבי רז

נועה רז, בת 30. חיה באינטרנט מאז 1999, חובבת ג'אדג'טים אך לא יודעת מה עושים איתם, וכותבת, בעיקר על כלום.

הגב

1 תגובה on "זהירות, וירוס חדש מתחפש להודעה מחברת האנטי-וירוס שלכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
avi
Guest

not on my linux

wpDiscuz

תגיות לכתבה: