Nový červ šířící se pomocí e-mailu a IRC zneužívá narůstající celosvětové hysterie z nákazy smrtelnou snětí slezinnou (antraxem) a snaží se nalákat svoje "oběti" na informace o něm. Jeho verze, které se zatím objevily, sice nejsou díky chybám schopny šíření, ale mohou se objevit další a dokonalejší.
Stává se již pomalu pravidlem, že většina významných událostí v "obyčejném" světě najde svoji odezvu i ve světě počítačových virů. Dalším důkazem tohoto tvrzení může být i několik nových vzorků viru VBSWG.AF, které byly vytvořeny pomocí stejnojmenného generátoru červů VBSWG. Stejný generátor byl použit i k vytvoření známého e-mailového červa známého pod jménem "Anna Kournikova", který se objevil letos v lednu. O nových červech informovaly společnosti Kaspersky Lab a F-Secure.
Uvedené exempláře se šíří ve zprávě s textem ve španělštině, který hned v předmětu slibuje informace o antraxu. Nakažené přílohy obsahující kód (Visual Basic Script) červa mohou mít jméno ANTRAXINFO.VBS nebo ANTRAX.JPG.VBS. Díky již zmiňované chybě však červ při svém šíření "zapomene" infikované přílohy do zprávy vložit a uživatelům by tak nemělo hrozit větší reálné nebezpečí. Je však jen otázkou času, kdy někdo zmiňovanou chybu opraví a dovede tak červa k příslovečné "dokonalosti".
Po svém spuštění se červ zabydluje v paměti počítače a pokouší se sám sebe rozesílat pomocí Outlooku na všechny adresy, které najde v adresáři (Microsoft Outlook address book) nakaženého počítače. Pokouší se také přepisovat svým kódem soubory s příponami VBS a VBE. Dvacátého šestého ledna se červ připomíná zobrazením vzkazu: "Antrax Worm By wAsEk".
Doporučením, které z tohoto vyplývá pro uživatele je, že by měli věnovat větší pozornost nejen "obyčejným" poštovním zásilkám, ale také jejich elektronickým ekvivalentům. Co kdyby se v nich skrýval "anthrax" či nějaký jiný škodlivý kód...
Zde je kompletní popis tohoto nepříjemného červa.
Popis:
Akce:
VBSWG.AF se objevil v několika variantách. Všechno jsou to červi vytvoření pomocí generátoru VBSWG, kteří se šíří pod zástěrkou nabízení informací o antraxu. Díky obsažené chybě je však jejich šíření velmi omezené.
Mohou se také šířit také pomocí IRC kanálů (pod jmény mIRC nebo pIRCh). Infikované soubory přiložené ke zprávám mají jméno ANTRAXINFO.VBS nebo ANTRAX.JPG.VBS.
Infikovaná zpráva může vypadat například takto:
Předmět:
Informacion Sobre El Antrax
nebo
Antrax Info
Text:
Como ahorita esta muy de moda hablar sobre el antrax aqui te mando la foto de un enfermo terminal,para que veas como se ponen
nebo
si no sabes que es el antrax o cuales son sus efectos aqui te mando una foto para que veas los efectos que tiene
Nota:la foto esta un poco fuerte.
Po svém spuštění se červ zabydluje v paměti počítače a pokouší se sám sebe rozesílat pomocí Outlooku na všechny adresy, které najde v adresáři (Microsoft Outlook address book) nakaženého počítače. Díky zmiňované chybě však není schopen k textu přidat také svůj kód, takže jeho šíření vychází "naprázdno".
Pokouší se také přepisovat svým kódem soubory s příponami VBS a VBE.
Dvacátého šestého ledna se červ připomíná zobrazením tohoto vzkazu:
Antrax Worm By wAsEk
Dejte si tedy pozor a aktualizujte své virové báze!