Fałszywy "patch"

Przedstawiciele Symanteca poinformowali o wykryciu nowego robaka internetowego, który rozprzestrzenia się za pośrednictwem poczty elektronicznej, "podszywając" się pod "patcha" do programu Internet Explorer. Odkrycie, że system został zainfekowany przez W32.Gibe@mm jest stosunkowo trudne (przynajmniej na początku), ponieważ robak do przesyłania swoich kopii wykorzystuje własny mechanizm pocztowy. Według ekspertów Symanteca, może on jednak stanowić poważne zagrożenie, ponieważ jednym z etapów jego działania jest zainstalowanie w zainfekowanym systemie "konia trojańskiego".

W32.Gibe@mm pojawia się w komputerze w postaci załącznika do e-maila, z którego nagłówka wynika, że został on przysłany z firmy Microsoft (jest to nieprawda - warto pamiętać, że MS nigdy nie wysyła pocztą elektroniczną żadnych uaktualnień). E-mail taki wygląda następująco:

OD: Microsoft Corporation Security Center
Temat: Internet Security Update
Treść: Microsoft Customer,
this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities
.
How to install
Run attached file q216309.exe
How to use
You don't need to do anything after installing this item.

Załącznik: Q216309.exe

Po uruchomieniu załączonego pliku uaktywni się robak - utworzy na dysku kilka swoich kopii, zainstaluje "konia trojańskiego" (otwierając jednocześnie port 12378), a następnie przeszuka twardy dysk w poszukiwaniu adresów e-mail. Później wyśle swoje kopie pod wszystkie znalezione adresy. Po zrestartowaniu systemu uaktywni się również "trojan", który umożliwia osobom niepowołanym pełny dostęp do zainfekowanego systemu.

Aby usunąć W32.Gibe@mm, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego, przeprowadzić kompleksowe skanowanie systemu i usunąć pliki zarażone przez robaka.