SKANNERI-lehti

Skanneri-lehti
PL 163
45101 Kouvola

· VIRUSTIETOA ·
[Etusivu] [Yhteystiedot] [Tilaukset] [Ilmoitushinnat] [Valta 2004] [SAUNA]
07.02.2012
olio

Uusin(?) PAHA mötiäinen :
Bugbear/Tanatos
(30.10.2002)

VIRUSTIETOA

Skannerilehden toimitukseen ja nettipajaan aivan viime aikoina saapuneiden viruksia tai matoja sisältävien sähköpostiviestien määristä voi päätellä, että viruksista ei ole vielä kerrottu tarpeeksi. Pahimpia viimeaikojen viiraukset ovat olleetBADTRANS, NIMDA ja SIRCAM, GONER, ja GOKAR. Viimeisin PAHA viiraus näyttäisi olevan Bugbear/Tanatos -sähköpostimato (30.10.2002).

Em. räjähdysmäisesti levinneet "uuden sukupolven ötväkkeet" saivat myös myönteistä kehitystä aikaan. Entistä useammat käyttäjät alkoivat kiinnostua myös koneittensa virustorjunnasta. Tästä syystä tulevien kehittyneempienkään tuholaisohjelmien ei ole enää niin helppo levitä ja saada aikaan tuhoa.

Viruksista, madoista yms. voit keskustella ja lukea myös esim. Electric Saunan viiruslöylyosastolla.

Kuinka suojautua?

Seuraavassa keinoja:
  1. Älä käytä yhdistelmää PC + Windows;
    • Käytä MACcia
    • Käytä yhdistelmää PC + linux
  2. Älä käytä Outlookia tai Outlook Expressiä.
    Käytä esim.:
    • Eudoraa
    • Netscapen tai Operan sähköpostiohjelmia
  3. Älä käytä Internet Exloreria.
    Käytä esim:
    • Operaa
    • Netscapea
    • Mozillaa
  4. Käytä ajantasalla olevaa hyvää virustentorjuntaohjelmaa.
    esim:
    • Oma suosikkini Norton Antivirus 2002, hinta alle 400mk/vuosi, suomenkielinen, vaivaton, "varma".
    • Ilmainen AntiVir, ainakin toistaiseksi ilmainen ja toimivaksi todettu.
    Muista huolehtia virustietokantojen päivityksistä!
  5. Päivitä selaimesi ja sähköpostiohjelmasi, ja aseta niiden suojaustasot mahdollisimman tiukoiksi.
  6. Älä avaa sähköpostin liitedostoja, ellei lähettämisestä ole erikseen sovittu. Muista myös skannata liitteet ennen avaamista virusskannerilla, ellei se tee sitä automaattisesti.
  7. Seuraa netissä ja lehdissä olevia tiedotuksia ja uutisia uusista uhkista. Toimi annettujen ohjeitten mukaan.

Mikään em. keinoista ei vielä yksinään tarjoa 100-prosenttista suojaa viiruksia tai matoja vastaan. Parempi on kuitenkin tehdä edes jotain muuta, kuin vain odottaa mitä tapahtuu.

Bugbear

Tanatos, W32/Bugbear, Tanat, W32/Tanat, I-Worm.Tanatos, W32/Bugbear.A@mm
Tilastojen mukaan Bugbear on tämän hetken yleisin virus yhdessä Klezin kanssa.

Bugbear on Windows-pohjainen massapostimato joka leviää myös verkon kautta. Madossa on näppäimistönseurantaohjelma ja takaoviominaisuuksia.

Bugbear leviää sähköpostitse sattumanvaraisesti nimettynä liitetiedostona, jolla on yksi tai useampia tiedostopäätteitä. Viestin otsikkokentät ja viestin pääteksti vaihtelee. Madolla on kyky väärentää lähettäjän tiedot, jolloin lähettäjän sähköpostiosoite korvataan jollakin muulla sähköpostiosoitteella joka löytyy tartunnan saaneesta järjestelmästä.

Madon lähettämissä viesteissä on käytetty 'IFrame exploit' tietoturva-aukkoa, joka mahdollistaa madon käynnistymisen automaattisesti kun tartunnan saanut viesti avataan (esimerkiksi Outlook ja IE 5.0 tai 5.01 -ohjelmilla). Tämä tietoturva-aukko on korjattu ja siihen on saatavilla korjaustiedosto Microsoftin sivuilta osoitteessa:

http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

Joskus mato poimii tiedostoja tartunnan saaneen koneen sähköpostitietokannasta ja lähettää niitä eteenpäin saastuneella liitetiedostolla varustettuna. Mato osaa myöskin kopioida sattumanvaraisen kovalevyllä olleen tiedoston tekstin sähköpostiviestin tekstikenttään. Mato kykenee myös "lainaamaan" nimen liitteelleen joltakin tiedostolta joka on saastuneella kovalevyllä. Mato lisää lainattuun tiedostonimeen suoritettavan tiedoston päätteen. Mato voi esimerkiksi lähettää itsensä eteenpäin SOPIMUS.DOC.PIF - tiedostona.

Bugbear kykenee leviämään paikallisverkon yli. Mato käy läpi paikallisverkon tietokoneet ja pyrkii paikallistamaan \Start Menu\Programs\Startup\ -hakemiston verkossa olevissa koneissa. Jos polku löytyy, mato kopioi itsensä sattumanvaraisella nimellä. Kun saastutettu kone käynnistetään, madon luoma tiedosto käynnistyy ja järjestelmä saastuu.

Mato käyttää erilaisia menetelmiä prosessien sulkemiseen Windows 9x- ja NT- järjestelmissä. Suurimmassa osassa tapauksia mato onnistuu sulkemaan tietoturva- ja anti-virus -ohjelmat, jotka eivät havaitse matoa siinä vaiheessa kun se ensimmäistä kertaa leviää järjestelmään.

Bugbear kuuntelee porttia 36794 ja sallii liikenteen saastuneelle koneellesen kautta koneen takana olevaan järjestelmään. Bugbearin avulla hyökkääjä voi käyttää saastutettua verkkoa HTML-käyttöliittymän kautta. Mato luo HTML-sivuja lennosta samalla kun hyökkääjä selailee saastuneen etäkoneen hakemistoja. Bugbearin avulla hyökkääjä voi saada seuraavia tietoja saastuneesta järjestelmästä: käyttöjärjestelmä, prosessorityyppi, kiinteät levyasemat ja verkkolevyt.

Bugbearilla on kyky varastaa salasanoja. Mato asentaa näppäimistönseurantaohjelman järjestelmään, ohjelmalla mato tallentaa näppäimistöllä kirjoitetun informaation tiedostoksi. Tiedosto lähetetään tämän jälkeen muutamaan sähköpostiosoitteeseen, jotka ovat salattuna madon koodissa. Käytettyjen SMTP-palvelinten nimet ovat myös tallennettuina salattuina madon koodissa.

Saatujen tietojen mukaan verkkoon kytketyt tulostimet tulostavat roskatekstiä, kun mato pääsee leviämään verkkoon. Tämä voi olla madon leviämisestä syntyvä sivuvaikutus .

Tarkempaa suomenkielistä tietoa ja poistotyökalu mm. osoitteessa:

http://www.europe.f-secure.com/v-kuvaus/tanatos.shtml

MYLIFE.B

W32.Caric@mm, Win32.MyLife.B, Win32/Cari.Worm

  • Mylife(a)-matosen uusi variantti
  • leviää "cari.scr" nimisessä liitteessä (vanhempi variantti "My life.scr")
  • lähettelee itseään osoitekirjasta löytyviin sähköpostiosoitteisiin
  • Madon sisältävä viesti näyttää tältä:
    From: "viruksen saaneen koneen käyttäjä"
    To: "satunnainen osoite osoitekirjasta"
    Subject: bill caricature
    Body:
    Hiiiii How are youuuuuuuu? look to bill caricature it's vvvery verrrry ffffunny :-) :-) i promise you will love it? ok buy
    ========No Viruse Found========
    MCAFEE.COM
    ----------------------------
    Attachment: CARI.SCR
  • Mato voi tuhota *.sys-tiedostot Windows-hakemistosta, sekä *.vxd, *.sys, *.ocx, *.nls -tiedostot Windowsin Järjestelmä/System kansiosta
  • Lisäksi mato voi tuhota kaikki tiedostot C:-E:-kansioitten juurissa. Esim. C:\*.*...
  • Tuhoamistoiminto aktivoituu, mikäli mato on asentanut itsensä Windowsin järjestelmäkansioon, ja kello on kahdeksan. (McAfeen mielestä tuossa tuhoamistoiminnossa on bugi, ja se ei toimi, F-Secure on ilmeisesti osittain eri mieltä...)

Tarkempaa tietoa mm. osoitteessa: http://vil.nai.com/vil/content/v_99414.htm ja http://www.europe.f-secure.com/v-descs/mylife.shtml

FBOUND

W32/Impat.A-mm, I-Worm.Zircon

  • suhteellisen "vaaraton" sähköpostimato
  • leviää "patch.exe" nimisessä liitteessä
  • lähettelee itseään osoitekirjasta löytyviin sähköpostiosoitteisiin
  • ei "asenna" itseään systeemiin; seuraavan tietokoneen kännistyksen yhteydessä se ei ole toiminnassa, vaan se käynnistyy vain, kun sen sisältävä liite avataan.

Tarkempaa tietoa mm. osoitteessa: http://www.europe.f-secure.com/v-descs/fbound.shtml

SHARPEI

Sharp, Win32.HLLP.Sharp, Blunt

  • sähköpostimato, joka naamioituu edelleenlähetetyksi Microsoftin turvapäivitykseksi
  • Subject: "Important: Windows update"
    Body:
    "Hey, at work we are applying this update because it makes Windows over 50% faster and more secure. I thought I should forward it as you may like it."
    Attachment: MS02-010.exe
  • etsii sähköpostiosoitteita, joihin se alkaa lähettää kopioitaan
  • saastuttaa kaikki exe-tiedostot "system"-kansiosta, ja "Program Files"-kansion kolmesta kansiosta

Tarkempaa tietoa mm. osoitteessa: http://www.europe.f-secure.com/v-descs/blunt.shtml

GIBE

I-Worm.Gibe, W32,Gibe@mm, W32/ Gibe.A@mm

  • sähköpostimato, joka naamioituu Microsoftin turvapäivitykseksi
  • From: Microsoft Corporation Security Center
    mailto:rdquest12@microsoft.com]
    To: Microsoft Customer
    Subject: Internet Security Update
    Attachment: q216309.exe
  • etsii sähköpostiosoitteita, joihin se alkaa lähettää kopioitaan
  • asentaa takaporttiohjelman, jonka avulla ulkopuolinen pääsee käsiksi saastuneeseen järjestelmään

Tarkempaa tietoa mm. osoitteessa: http://www.europe.f-secure.com/v-descs/gibe.shtml

KLEZ.E

I-Worm.Klez.E, Stemdil

  • leviää sähköpostitse
  • osaa väärentää lähettäjäkentän, posteissa näkyvä tieto lähettäjästä voi olla napattu www-sivuilta
  • asentaa itsensä Windowsin System -hakemistoon nimellä "WINKxxxx.EXE", jossa "xxxx" voi olla kahdesta kolmeen satunnaista merkkiä. Mato lisää itsensä myös Windowsin rekisteriin siten, että mato käynnistetään koneen käynnistyksen yhteydessä
  • saastuttaa tiedostoja piilottaen alkuperäisen ".exe" -tiedoston ja vaihtaen päätteen satunnaiseksi, tekee kopion itsestään käyttäen alkuperäisen tiedoston nimeä. Kun tiedosto suoritetaan, Klez.E käynnistää alkuperäisen tiedoston.
  • levittää itseään verkon yli käymällä läpi verkkoresurssit ja kopioimalla itsensä verkkoasemille kaksi kertaa: ajettavana tiedostona sekä Rar -pakettina
  • lopettaa eräiden virustorjunta- sekä tietoturvaohjelmistojen suorituksen, jos ne ovat käynnissä
  • poistaa käynnistysmerkinnät rekisteristä tietoturva- ja virustorjuntaohjelmistojen osalta
  • muokkaa virustorjuntaohjelmistojen hakumerkkijono- sekä tarkistussummatiedostoja
  • saastuttaa järjestelmän Elkern -viruksen uudella versiolla joka tunnetaan nimellä Win32.Klez.b
  • saattaa vaurioittaa tiedostoja
  • sisältää monimutkaisen aktivoitumisrutiinin, joka laukeaa parittomien kuukausien 6. päivä. Jos kuukausi on mikä tahansa muu pariton kuukausi kuin tammikuu tai heinäkuu, mato ylikirjoittaa tiedostot tietynpäätteiset tiedostot.
  • tammi- ja heinäkuussa mato ylikirjoittaa kaikki tiedostot päätteestä riippumatta
  • kerää sähköpostiosoitteet Windowsin osoitekirjasta sekä ICQ:n kontaktilistasta

Aika veikee mato...? :) / :(

Tarkempaa suomenkielistä tietoa mm. osoitteessa: http://www.europe.f-secure.com/v-kuvaus/klez_e.shtml

SEEKER

  • troijalainen, joka voi tarttua esim. "aikuisviihdesivuilta" puhtaasti selaimen kautta!
  • sijoittaa tiedoston RUNME.HTA Windowsin "Käynnistys"-hakemistoon, sekä tiedoston REMOVEIT.HTA C:-levyn juurihakemistoon. Kun tietokone seuraavan kerran käynnistetään, käynnistyy myös Seeker ja muuttaa IE:n ja Netscape Navigator -ohjelman aloitussivun osoitteeseen www.sureseeker.com
  • muokkaa myös IE:n oletuksissa olevan hakusivun samaan osoitteeseen
  • Suojataksesi Windowssisi Seeker-troijalaisen käyttämää tietoturva-aukkoa vastaan, lataa ja asenna Microsoftin tekemä korjauspäivitys osoitteesta http:// www.microsoft.com/technet/security/bulletin/ms99-032.asp.

HUOM! Samaa tietoturva-aukkoa käyttää hyväkseen moni muukin troijalainen (esim. JS/Kak, VBS/BubbleBoy, jne., jne.)! Jos selaimesi aloitussivu itsepintaisesti pysyy esim. "aikuisviihteellisenä", on syytä olettaa jonkin troijalaisen päässeen sisään koneeseen...

Tarkempaa suomenkielistä tietoa mm. osoitteessa: http://www.europe.f-secure.com/v-kuvaus/seeker.shtml

MAGISTR

IWorm_Magistr, I-Worm.Magistr, W32/ Magistr@mm

  • leviää sähköpostin, lähiverkon ja saastuneiden tiedostojen välityksellä
  • aktivoitumisrutiini käynnistyy kuukauden kuluttua koneen saastumisesta
  • yrittää tuhota kovalevyn sisältämät tiedot ja CMOS- sekä BIOS-tiedot
  • saattaa myös aiheuttaa työpöydällä olevien kuvakkeiden "pakenemisen" hiiren osoittimen tieltä
  • osaa hakea sähköpostiosoitteet leviämistä varten seuraavista ohjelmista:
    Outlook Express
    Netscape Messenger
    Internet Mail and News

Tarkempaa suomenkielistä tietoa mm. osoitteessa: http://www.europe.f-secure.com/v-kuvaus/magistr.shtml

YARNER

W32/Yarner@MM
Kyseessä on (tietenkin?) sähköpostin välityksellä leviävä matovirus. Mato saapuu sähköpostin liitetiedostona, jonka nimi on yawsetup.exe. Viestin otsikkona on "Trojaner-Info Newsletter" + päiväys. Tekstirunkona on:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version...
jne...

Kyseessä on siis saksankielinen viesti, joka yrittää näyttää siltä, että sen mukana tulisi joku "hyötyohjelma". Kun liitetiedosto avataan, hyökkää kuitenkin Yarner-mato koneen kimppuun. Mato kopioi itsensä Windows-rekisteriin ja muuttaa notepad.exe -ohjelman nimen notedpad.exe:ksi. Jos Notepad-ohjelman tämän jälkeen käynnistää, käynnistyykin Yarner, joka etsii Outlook-ohjelmasta, sekä .pl-, .php-, .htm-, .shtm-, ja .cgi-päätteisistä tiedostoista sähköpostiosoitteita ja alkaa lähettää niihin kopioitaan.

Tarkempaa tietoa mm. osoitteessa: http://vil.mcafee.com/dispVirus.asp?virus_k=99365&

MYPARTY

I-Worm.Myparty, W32/Myparty@mm
Kyseessä on (tietenkin?) sähköpostin välityksellä leviävä matovirus. Mato saapuu sähköpostin liitetiedostona, jonka nimi on "www.myparty.yahoo.com". Viestin otsikkona on "new photos from my party!". Tekstirunkona on "My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!".

Koska com-pääte näyttää monen silmissä internetosoitteelta, moni käyttäjä erehtyy napsauttamaan linkkiä ja tartuttaa näin madon tietokoneelleen. Com-päätteiset tiedostot ovat kuitenkin Windowsissa suoritettavia ohjelmatiedostoja. Jotkin sähköpostiohjelmat saattavat näyttää com-päätteiset tiedostot web-linkkinä, kun taas toiset näyttävät sen yhteydessä tiedostolinkin kuvakkeen.

Tarkempaa tietoa mm. osoitteessa: http://www.f-secure.com/v-descs/myparty.shtml tai suomeksi (ja lyhyesti) osoitteessa: http://www.f-secure.com/fin/support-page_2002012800.shtml

GIGGER

Gigger.A, Gigger.A@mm, JS_GIGGER.A, JS/Gigger.a@MM, JS.Gigger.A, JS/Gigger-A
Kyseessä on (jälleen kerran!) sähköpostin ja irc-keskustelualueiden välityksellä leviävä matovirus, joka saattaa tuhota kaikki tiedot käyttäjän kiintolevyltä. Mato saapuu sähköpostin liitetiedostona, jonka nimi on mmsn_offline.htm. Viestin otsikkona on "Outlook Express Update" tai vastaanottajan sähköpostiosoite. Tekstirunkona on joko "MSNSofware Co." tai "Microsoft Outlook 98."

  • tarttuu, jos liitetiedosto avataan
  • pyrkii leviämään lähettämällä viestin kaikkiin Outlook-sähköpostiohjelman osoitekirjasta löytyviin osoitteisiin.
  • käyttää leviämiseen myös Mirc-ohjelmaa ja paikallisverkon levyjakoja.

Tarkempaa tietoa mm. osoitteessa: http://www.f-secure.com/v-descs/gigger.shtml.

MALDAL

Uusin variantti W32.Maldal.D@mm (29.12.2001), noudattelee hyvin pitkälti samaa kaavaa, kuin alla kerrottu "alkuperäinenkin" versio. Saastuneen sähköpostinviestin nimenä ko. matoversio käyttää nimeä "ZaCker".

Tarkempaa tietoa Maldal.D:stä, sekä poisto-ohjeet vaikkapa osoitteesta:

---

MALDAL

W32.Maldal.C@mm on Microsoftin Outlook -ohjelmassa leviävä sähköpostimato (yllätys?), joka tuhoaa saastuttamaltaan koneelta tiedostoja ja yrittää estää tietokoneen näppäimistön toiminnan.

  • Madon ensimmäinen osa on piilotettu sähköisen joulukortin näköiseen CHRISTMAS.EXE -nimiseen liitetiedostoon sähköpostiviestissä, jonka otsikko on Happy New Year.
  • Maldal pääsee koneelle, jos sen sisältävä sähköpostiviestin liitetiedosto avataan. Mato näyttää hämäyksen vuoksi joulupukkiaiheisen kuvan ja alkaa saastuttaa kohdettaan.
  • Mato yrittää levittää sanomaansa myös irc-kanavilla, jonne se lähettää mIRC- ohjelman avulla saastuneen sivun linkkiä.
  • Maldal vaihtaa saastuneen tietokoneen nimen ZaCkeriksi ja vaihtaa Internet Explorer -selaimeen poliittisen viestin sisältävän, saastuneen aloitussivun. Mm. Bushista vähemmän maireita mielipiteitä esittävä sivu sisältää myös JavaScript-koodia (JS.Exception.Exploit), joka pääsee IE:n tietoturva-aukon kautta koneelle.
  • Maldal etsii koneesta tietoturvaohjelmia ja yrittää poistaa ne. Mm. ZoneAlarm ja yleisimmät virustorjuntaohjelmat kuuluvat Maldalin "hakulistalle".
  • Se yrittää myös tuhota tietyillä päätteillä varustettuja tiedostoja löytämiltään kiinteiltä ja verkossa olevilta levyiltä.
  • Outlook-madosta kun on kyse, se osaa myös etsiä Outlookista sähköpostiosoitteita, joihin se lähettelee kopioitaan. Otiskkona näissä viesteissä on "Very important ! ! !"
  • Maldalin käyttämä aukko on vanha, ja siihen on ollut päivitys saatavilla jo yli vuoden. Uusimmissa IE:n versioissa kyseistä aukkoa ei enää ole.

Tarkempaa tietoa Maldalista vaikkapa osoitteista:

GOKAR

Gokar (W32/Gokar@mm, Karen) on mato, joka leviää paitsi Outlook-ohjelman osoitteiston kautta sähköpostin liitetiedostoissa, myös irc-kanavissa ja IIS-palvelimissa (yllätys?). Mato on piileskelee sähköpostiviestin liitetiedostossa, jonka nimi vaihtelee. Tiedostoliite on kuitenkin aina joko .PIF, .SCR, .COM, .EXE tai .BAT.

Gokar osaa vaihdella myös viestin osoitekentän sisältöä ja varsinaista leipätekstiä satunnaisesti 11:n otsikko- ja 15 viestitekstin väliltä. Tekstit ovat englanninkielisiä. Viestin loppuun mato lisää lähettäjän nimen. Jos liitetiedosto avataan, Gokar lisää windows-hakemistoon Karen.exe -nimisen tiedoston ja rekisteriin samannimisen arvon. Näin mato aktivoituu aina, kun windows käynnistetään.

Gokar etsii mIRC-kansiota koneelta. Löytäessään sellaisen mato yrittää levittää kopioitaan irc-kanaville aina, kun mIRC ajetaan.

Päästessään Microsoftin IIS-palvelin, matoi kopioi itsensä koneelle nimellä Web.exe. Saastunut palvelin näyttää tämän jälkeen sivullaan kehotusta imuroida Web.exe-niminen tiedosto, joka tietenkin sitten sisältää madon.

Tarkempaa tietoa Gokarista suomeksi esim:
http://www.europe.f-secure.com/v-kuvaus/gokar.shtml

BADTRANS

Badtrans.B on viimeisin "pahanlaatuisista" madoista. Paitsi, että se levittää itseään, se sisältää myös "troijalaisen" nimeltään Trojan.PSW.Hooker, joka urkkii käyttäjän koneesta näppäimistöltä kirjoitettuja käyttäjätunnuksia ja salasanoja, ja lähettää ne edelleen todennäköisesti madon luojan erilaisiin sähköpostiosoitteisiin.

Badtranssin lähettämän viestin otsikko alkaa yleensä "Re:", aivan kuin "normaalissa" sähköpostivastauksessa. Viesti sisältää liitteen, jossa aktivoitumaan valmis mato lymyilee. Liitteen pääte on kaksiosainen, esim. tyyliin Me_nude.DOC.scr.

Suomenkieliset ohjeet ja (ilmaiset) työkalut madon ja troijalaisen poistamiseen löytyvät osoitteesta:
http://www.europe.f-secure.com/v-descs/bt_b_dis_fin.shtml.

Tarkempi suomenkielinen viruskuvaus on luettavissa osoitteessa:
http://www.europe.f-secure.com/v-kuvaus/badtrs_b.shtml.

Helpoimmin (=varmimmin) mato iskee mikäli käytät MS Internet Explorerin versiota 5.0 tai 5.5 ja Outlookin Expressin versiota 5. Tässä sähköpostiohjelmassa liite avautuu automaattisesti jo viestin esikatselussa, ilman erillisiä "haluatko avata"-kysymyksiä. Explorer 6:n mukana tulevassa Outlook Express 6:ssa tämä ei enää tapahdu automaattisesti, mutta liitteen avaaaminen käyttäjän suostumuksella aiheuttaa ihan samanlaisen saastumisen.

GONER

Goner.A on neljäs joulukuuta löytynyt mato. Sen lisäksi, että se osaa levittää itseään sähköpostin liitteenä, se osaa levitä myös ICQ Instant Messengerin ja IRCcin avulla. Kaiken lisäksi se käy myös koneen virustorjunnan ja mahdollisen palomuurin (esim. Zonealarmin) kimppuun!

Sähköpostiviestin liitteenä Goner käyttää nimeä Gone.scr. Otsikkona on "Hi" , ja itse viestikentässä lukee:
How are you ?
When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!

Goner etsii osoitteita Microsoft Outlookista ja lähettää kopioitaan löytämiinsä. Mato etsii myös ICQ-ohjelmaa ja käyttää sitäkin levitäkseen. Se myös asentaa skriptejä MIRC-osoitteistoon ja alkaa tukkia IRC-kanavia.

Ei tässä vielä kylliksi, Goner etsii vielä kohteestaan virustorjunta- ja palomuuriohjelmia ja yrittää ensin lopettaa niiden aktiiviset toiminnot ja sitten kokonaan pyyhkiä ne kiintolevyltä.

Tarkempaa tietoa esim:
http://www.europe.f-secure.com/v-descs/goner.shtml

NIMDA

Nimda.E ja Nimda.E ovat kaksi eri versiota NIMDA-nimellä tunnetusta verkkomadosta. Näyttäisi tosin siltä, että madon kehittäjä olisi halunnut, että mato tunnettaisin nimellä "Concept", sillä uudempaan "E"-versioon on piilotettu tekijänoikeusteksti: "Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)"

Mato leviää saastuttamalla tiedostoja, välittämällä sähköpostia koneesta löytämiinsä osoitteisiin, käyttämällä hyväkseen www-palvelimien turva-aukkoja ja lähiverkkojen levyjakoja.

Tämä otus on siitä "hauska", että kone saattaa saada tartunnan, vaikka ei Outlookia sähköpostiohjelmana käyttäisikään... Koska se osaa saastuttaa MS IIS-palvelimet, joissa turvapäivitykset eivät ole ajan tasalla, se voi levitä näillä palvelimilla olevilta WWW-sivuilta selaimen kautta sivujen lukijoitten koneisiin. Onneksi pahin aika on jo ohitettu tämän suhteen. :)

Ilmainen työkalu NIMDAn poistamiseen:
ftp://ftp.Europe.F-Secure.com/anti-virus/tools/fsnimda3.exe

Suomenkielistä tietoa NIMDAsta esim.:
http://www.europe.f-secure.com/news/2001/news_2001103100s.shtml

Tarkempaa teknistä tietoa:
http://www.f-secure.com/v-descs/nimda_e.shtml

HUOM!!! Jos jokin MS Office -ohjelma, esim Word, herjaa muistin riittämättömyyttä (silloinkin kun ei pitäisi), on NIMDAn olemassolo koneella "melko" todennäköistä!!!

SIRCAM

Sircam on mato, joka leviää sekä sähköpostin että Windowsin jaettujen resurssien kautta. Mato käyttää Windowsin osoitekirjaa (Windows Address Book) sähköpostiosoitteiden keräämiseen. Lisäksi osoitteita kerätään Internet Explorerin "Temporary Internet Files" -hakemistosta. Mato siis osaa lähettää postia mm. osoitteisiin, jotka ovat internetsivuilla, joilla olet käynyt!

Liitteen nimenä mato käyttää tiedostonimeä, joka löytyy lähettäjän "My Documents" -hakemistosta. Lisäksi liite sisältää kaksinkertaisen pääteen - esimerksisi ".doc.exe" tai ".xls.lnk". Jälkimmäinen pääte on aina ".com", ".bat", ".pif" tai ".lnk". Koska mato lähettää mukanaan sattumanvaraisen tiedoston käyttäjän koneesta, se voi lähettää luottamuksellista tietoa.

Ilmainen korjaussatsi osoitteessa:
ftp://ftp.europe.f-secure.com/anti-virus/tools/antisirc.exe

Tarkempaa suomenkielistä tietoa:
http://www.europe.f-secure.com/v-kuvaus/sircam.shtml
silmät
Sähköposti: info@skannerilehti.net
Sivunikkari: jukkis@skannerilehti.net