A Symantec a nevezett kártevőt, ami a programférgek közé tartozik, tehát nem egy szigorú meghatározásoknak megfelelő számítógépvírus, W32/Usbalex worm néven azonosítja.

 

 

A Symantec a nevezett kártevőt, ami a programférgek közé tartozik, tehát nem egy szigorú meghatározásoknak megfelelő számítógépvírus, W32/Usbalex worm néven azonosítja.

 

 A kártevő a 80 GB-os merevlemezek D: partícióján lapul egy rejtett attribútumú recycled.exe nevű fájlban, amelynek indításáról egy azt kíséró autorun.inf fájl gondoskodik. A meghajtó megnyitásakor ez elindítja a férget tartalmazó programfájlt, amely először a C: meghajtót próbálja megfertőzni, majd az összes, a számítógéphez csatlakoztatott külső tárolót. Ennek megfelelően árkerül minden nem írásvédett USB pendrive-ra, külső USB és firewire merevlemezre, a csatlakoztatott memóriakártya-olvasókba helyezett memóriakártyákra stb.

Az Asus egyelőre nem nyilatkozott arról, hogyan kerülhetett a fertőzés a gyárból frissen kikerülő gépeire, és még az sem ismert, hova szállíthattak a fertőzött gépekből.

A RegHardware portál (www.reghardware.co.uk) szerin nem csupán Japánba szállítottak fertőzött gépeket, mert ők is kaptak fertőzést, bár a hozzájuk került tesztgépen egy W32/Taterf worm néven azonosított (más programok W32.Gammima.AG néven ismerik) kártevő lapult egy kavo.exe nevű rejtet fájlban. Ez a féreg az online játékok felhasználóneveit és jelszavait gyűjti be. Szerencsére ezt a férget a tesztrendszerre telepített Microsoft malware eltávolító eszköz már (fel)ismerte és még időben eltávolította. Ez utóbbi esetben azonban – a RegHadrware szerkesztői is elismerik, előfordulhat, hogy a fertőzés nem a gyárban, hanem valamelyik korábbi tesztelőnél került a tesztgépre.

Mindez azonban nem tekinthető véletlennek. Ha a fertőzések gyári eredetűek, akkor érthető, hogy a japán és angol operációs rendszer telepítő forrásának használt lemezképek értelemszerűen különböznek, így nem meglepetés, hogy más-más kártevő került a japán, illetve az angol nyelvű piacokra szánt gépekre.

Végül érdemes összefoglalnunk az eset(ek) tanulságait. Nem egyedi eset, hogy gyári hardvereken fertőzés érkezik. Ne tekintsük tehát paranoiásnak azt, aki a rendszer használatba vétele során bármi más szoftvertelepítést, vagy helyi hálózatot is érintő munkát megelőzve először alapos vírus-, pontosabban malware-ellenőrzést végez. Ezt a módszert érdemes átvenni, és akkor egy sor későbbi problémát könnyedén megelőzhetünk.

És egy végső észrevétel. Nem bűnbakra vágyunk, de azt mindenképp elvárhatjuk az Asus illetékeseitől, hogy alaposan vizsgálják ki, hogyan kerülhettek rosszindulatú programok az ügyfeleknek kiszállított gépeikre. Ismételjük, nem bűnbakot, hanem felelőst várunk, és egy megfelelően dokumentált megoldást, hogy ilyen esetek többé ne ismétlődhessenek meg.

Dr Nagy Gábor

Források:

http://gizmodo.com/5060600/asus-admits-that-a-virus-shipped-with-some-eee-box-mini-pcs

http://www.reghardware.co.uk/2008/10/08/asus_eee_box_virus/

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük