Viimase kahe päevaga on sagenenud uue aasta «tervitust» edastava Luder.A nime kandva viiruse ringlus Eestis ja ka mujal maailmas.

Luder.A (tuntud ka nimede all Email-Worm.Win32.Luder.a, Luder, Trojan-Downloader.Win32.Tibs.jy) on kombineeritud pahalane, milles on ühendatud meiliuss, troojalaste arvutisse laadija ning «vana kooli» faile nakatav viirus. Viiruse saadetud meilide sisureaks on «Happy New Year!» ning lisatud meilimanuse nimetus on kas «greeting postcard.exe», «greeting card.exe» või «postcard.exe.»

Manusel klikkides käivitab arvutikasutaja viiruskoodi ning viirus kopeerib ennast Windowsi süsteemikataloogi nimega ppl.exe ja lisab registrisse kaks uut märget.

Lisaks kopeerib ta ka trooja-laaduri süsteemikataloogi ning käivitab selle. Allalaadija hakkab eraldi veebilehelt kõikvõimalikku pahavara alla laadima ja käivitama. Seega võivad eri allikaist pärit Luderiga nakatunud arvutid käituda vägagi erinevalt.

Käivitununa kogub viirus kõigepealt nakatunud arvutist meiliaadressid (WAB – Windowsi aadressiraamat ning info .hta, .txt, .htm, .exe, .scr ja .rar -laienditega failidest). Samuti nakatab ta kõik .scr ja .exe laiendiga failid, tehes neist koopia suvalise nimega ja laiendiga .t. Siis sunnib viirus esmalt käivituma .t laiendiga viiruskoodi sisaldavat faili ning seejärel annab juhtimise üle algsele failile. Et viiruse kood on üsna vigane, rikub ta sageli nakatunud failid ja programmid ei pruugi enam korralikult töötada.

Üheks huvitavaks viiruse omaduseks on hoidumine meilide saatmisest aadressidele, mis sisaldavad nime microsoft või mis kuuluvad domeeni .mil või .gov.

Käivitatud viirus sulgeb kõik jooksvad protsessid, mille nimes leidub tuntud anti-viiruste või muude pahavaravastaste tarkvarade stringe (anti, virus, f-pro, avp, nav, nod32, troja jne) ning samuti sõnu reged ja msconfig. Viimased kaks ei luba käivitada käsitsi registri puhastamise vahendeid.

Viiruse eemaldamisega saavad hakkama kõik uuendatud antiviirustarkvarad ja õigeaegselt uuendatud antiviirus eemaldab viiruse meilist enne nakatumise võimaldamist. Laialdaselt nakatunud arvuti korral tuleb masin võrgust lahti ühendada (sülearvutite puhul sulgeda traadita WiFi ja Bluetooth side) ning arvuti alglaadida antiviirustarkvaraga nn Live-CD pealt. Sellise CD või muu irdketta tegemist võimaldab iga kaasaegne turvatarkvara. Kui Luder on arvutivõrgus juba ühte masinasse pääsenud, tuleb kõiki sisevõrgu arvuteid põhjalikult skaneerida.

Toimetas Veiko Tamm, PM online

Märkmed: