A VirusBuster Kft. ma kiadott közleménye szerint tegnap egy újabb trójai vírus jelent meg a világhálón. Az új variáns a május elején felbukkant Trojan.Opnis család tagja, e-mail üzenetek mellékleteként terjed, s a Windows alatti futó rendszerek biztonsági réseit kihasználva igyekszik kifejteni romboló hatását. A trójai vírus egy hátsó ajtó (backdoor) segítségével megkísérli átvenni a számítógép vezérlését, hogy azt egy távoli gépről is lehessen irányítani. Bár a kártevő elterjedtsége jelenleg még csak közepesnek mondható, hamarosan újabb variánsok felbukkanása várható. Az ilyen típusú vírusok íróinak célja, hogy a megfertőzött zombi-számítógépeket és az ezekből álló úgynevezett botnet hálózatokat távolról irányítva adatokat szerezzenek meg, s ezekkel visszaéljenek.

A tegnap felbukkant Trojan.Opnis.Z is ebbe a csoportba tartozik. Az e-mailben kapott fertőzött levél szövege angol nyelvű, s minden esetben futtatható mellékletet tartalmaz – rendszerint megtévesztő subjecttel: „Good Day, Server Report, hello, picture, Status, test, Error, Mail Delivery System, Mail Transaction Failed”. A levél törzsében az alábbi szövegek jelenhetnek meg:

„Mail transaction failed. Partial message is available”
„The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment”
„The message contains Unicode characters and has been sentas a binary attachment”

A melléklet állományainak elnevezései a „body, data, doc, docs, document, file, message, readme, test, text” listából jönnek létre, a fájlkiterjesztések pedig az alábbiak lehetnek: „.log, .elm, .msg, .txt, .dat”. Ha látható egy eleve gyanús második kiterjesztés, akkor az a következő típusokból áll: „.bat, .cmd, .scr, .exe, .pif”. Ha a felhasználó megnyitja a mellékletet, akkor a futó program különböző bejegyzéseket is elhelyez a rendszerleíró (Registry) adatbázisban.

Gyanús jel lehet az is, ha a látszólag magától megnyílik a Jegyzettömb alkalmazás (Notepad), és annak ablakában zagyva karakterek jelennek meg. A vírus a továbbterjedése érdekében e-mail címek után kutat a fertőzött gép állományaiban.

A Trojan.Opnis.Z készítője egy hátsó ajtó segítségével távolról átveheti a vezérlést a fertőzött rendszer felett, ezáltal tetszése szerint programokat futtathat, megváltoztathat állományokat, törölhet, ellophatja az adatokat, s emellett a gépet felhasználhatja webszerverek elleni támadáshoz is (DoS, DDoS) – anélkül, hogy a felhasználó tudomást szerezne róla.

A legfrissebb változatot, a Trojan.Opnis.Z-t augusztus 23-án, a délutáni órákban fedezte fel a VirusBuster. Időközben már megjelent két újabb variáns is (Opnis.AA és Opnis.AB)

„Fontos tudnivaló, hogy az e-mail üzenetben érkező mellékleteket – különösen, ha az ismeretlen feladótól érkezett – soha ne nyissuk meg, ne futtassuk” – figyelmeztet Szappanos Gábor a magyar vírusirtó cég vezető szakértője.