Pastebėta, kad š. m. rugsėjo 9 d. pasirodė naujas kompiuterinis virusas, plintantis per Skype pokalbių programą. Viruso veikimo principas labai panašus į balandžio mėnesį pasirodžiusį „Sandra“ virusą, kurio neigiamą įtaką pajuto didelis skaičius vartotojų Lietuvoje.
Veikimas:
Visų pirma „Skype“ vartotojas gauna maždaug tokio turinio žinutes, kaip pateikta pavyzdžiuose žemiau.
1) Lietuviškas variantas:
[22:06:49] xx sako: labas
[22:07:01] xx sako: geras ane ?
[22:07:04] xx sako:
http://www.myimagespace.net/erotic-gallerys/
usr--ištrinta--/dsc027.jpg
[22:07:14] xx sako: :S
[22:07:17] xx sako: ;)
Angliškas variantas:
„how are u ? :)
hey
your photos looks realy nice
http://www.myimagespace.net/erotic-gallerys/
usr--ištrinta--/dsc027.jpg
:D
oops sorry please don't look there :S
:)“
Paspaudus nuorodą, iš specialaus interneto tinklalapio bandoma siųstis bylą „dsc027.scr“. Jei vartotojas ją aktyvuoja (paspaudžia „Run“), atsidaro paveikslėlis ir kompiuteris yra apkrečiamas virusu.
Šiuo metu veikianti viruso modifikacija pažeistame kompiuteryje atlieka tokius veiksmus:
1) „Skype“ programoje yra nustatomas būsena „Netrukdyti“ (angl. Do not Disturb) ir virusas siunčia pranešimus su tokia pat žinute vartotojams iš vartotojo „Skype“ adresų knygutės, tokiu būdu bandydamas plisti toliau. Greičiausiai virusas įvertina „Skype“ aplinkos kalbą ir atitinkamai parenka toliau siunčiamos žinutę (lietuvių arba anglų).
2) Apkrėstame kompiuteryje su „Windows“ operacine sistema (OS) yra modifikuojama sisteminė byla „C:\WINDOWS\system32\drivers\etc\hosts“ bei apkrečiamos sisteminės programos „taskmgr.exe“ ir „regedit.exe“.
3) Sutrikdomas antivirusinių programų darbas, todėl viruso pašalinimas, skenuojant kompiuterio diską su atnaujinta antivirusine programa tampa neefektyvus.
4) Taip pat sutrikdoma „Windows“ OS atnaujinimų sistema, todėl šio viruso pašalinimas dar sudėtingesnis, nes pažeistas kompiuteris nebegauna operacinės sistemos saugumo atnaujinimų.
Rekomendacijos
Jokiu būdu neatidarinėkite „Skype“ programoje siūlomų aplankyti nuorodų, netgi jeigu gauta žinutė yra iš patikimo šaltinio (šaltinio kompiuteris gali būti apkrėstas virusu).
Viruso pašalinimą galite atlikti skenuodami kompiuterio diską su atnaujinta antivirusine programa. Deja, kol dar ne visos antivirusinės programos sugeba šį virusą identifikuoti, duotuoju momentu šis metodas nėra patikimas.
CERT-RRT, atlikus išsamesnius tyrimus, pateiks rekomendacijas kaip „rankiniu“ būdu pašalinti virusą iš pažeisto kompiuterio.
Pranešimo rašymo metu tik nedaugelis antivirusinių programų sugebėdavo aptikti šį virusą.
