Az antivírus-gyártókat heccelik a vírusirtók

A féreg a washingtoni és kínai biztonságtechnikai konferenciák ideje alatt jelent meg az interneten, amikor a világ vezető biztonságtechnikai szakemberei éppen az előadótermekben ültek. Nem először fordult elő, hogy a vírusok készítői figyelembe vették a vírusvadászok időbeosztását.

A víruskészítők egyre gyakrabban próbálják meg kihasználni az antivírus-gyártó cégek szakemberei számára elfoglaltságot jelentő eseményeket. Októberben a Sober.R a dublini Virus Bulletin konferencia alatt bukkant fel, most pedig a Win32/Sober.X készítői indítottak útnak egy nagyobb fertőzéshullámot, miközben a vírusvadászok Washingtonban és Kína több városában képezték magukat.

A féreg két Visual Basic nyelven írt végrehajtható fájlból áll. Az egyik ezek közül egy trójai program, ami feltehetően más kórokozók elhelyezésének megkönnyítésére szolgál, a másik pedig fertőzött e-mailek tömeges kiküldését végzi. Ez utóbbi "Your email", "Haben Sie diese EMail verschickt?" tárggyal rendelkező elektronikus leveleket küld, csatolmányként a trójai program ZIP formátumú tömörített változatával. Amennyiben a felhasználó megnyitja a trójai programot, az a végrehajtás után rögtön törli önmagát és egy hamis hibaüzenetet jelenít meg. Ezalatt a trójai néhány üres fájlt helyez el a rendszerkönyvtárban, ami lehetővé teszi, hogy a kórokozó minden rendszerindításkor lefusson. Végül e-mail címek után kutatva végigfésüli a felhasználó számítógépét, annak érdekében, hogy későbbi terjedését előkészítse.

Az antivírus-gyártókra gunyoros megjegyzéseket tartalmazó kóddal titkosított kórokozót a NOD32 antivírus rendszer fejlett heurisztikus elemző képességének köszönhetően proaktívan, emberi beavatkozás nélkül megállította.