Összefoglaló
A Conpilf féreg kifejezetten elektronikus levelek révén történő terjedésre alkalmas. Ennek megfelelően olyan e-mailekkel veszélyezteti a számítógépeket, amelyek mellékletében egy fertőzött állomány is található. Amennyiben ezt a felhasználó megnyitja, akkor a PC-je rögtön a féreg áldozatává válhat.
A Conpilf a továbbterjedéséről olyan módon gondoskodik, hogy az általa megfertőzött rendszereken felkutatja a különféle fájlokba elmentett e-mail címeket. Ezeket egyrészt összegyűjti, másrészt tömeges levelezésbe kezd a felhasználásukkal. A kártékony program különösen a Microsoft Outlook alkalmazást veszi szemügyre, amikor e-mail címek után kutakodik.
A féreg jelenlegi variánsa a fertőzött PC-ken kizárólag a terjedésére koncentrál, további káros műveleteket nem végez.
Leírás
1. Létrehozza a következő mappákat:
%Temp%RarSFX0
%Temp%RarSFX1
2. Felmásolja a rendszerre a saját állományait:
%Temp%httpwww.asesoriafiscalacf.comjsup.php
%Temp%RarSFX0MAPIEx.dll
%Temp%RarSFX1MAPIEx.dll
%Temp%RarSFX0aa.exe
%Temp%RarSFX1aa.exe
%Temp%RarSFX0NetMAPI.dll
%Temp%RarSFX1NetMAPI.dll
3. A Microsoft Outlook alkalmazásból kiexportálja az e-mail címeket.
4. A megszerzett címeket kiszivárogtatja a terjesztői számára.
5. A fenti e-mail címekre elektronikus leveleket kezd el küldözgetni.
A fertőzött levelek tárgya: RE: esta factura es tuya me llego por error.
A fertőzött levelek csatolmánya: Attachment: Factura_02125.doc
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu