Virus, ki se predstavlja kot kontroverzna Microsoftova proti-piratska programska oprema se širi po AOL'ovi mreži Instant Messenger, čeprav se zdi, da gre bolj za zafrkavanje Microsofta, kot za pravo grožnjo, je škoda ob okužbi lahko vseeno zelo velika.

Samo sporočilo se ne pretvarja, da je od znanega uporabnika, pride od neznanega pošiljatelja. Virus nato pride v obliki linka v sporočilu in uporabnikov računalnik okuži, če je ta dovolj naiven, da ga klikne.

 

Ko enkrat okuži računalnik, se virus registrira kot nov sistemski gonilnik imenovan »wgavn« in ima javno ime »Windows Genuine Advantage Validation Notification«. Če ga želi uporabnik izklopiti, mu javi da odstranitev ali zaustavitev procesa lahko povzroči nestabilnost sistema.

Za razliko od legitimnega programa WGA, ta virus predstavlja resno grožnjo, saj onesposobi Windows firewall in odpre 'stranska vrata' do okuženega računalnika (uporabniki dodatne zaščite kakršna je Outpost Firewall so pred takimi napadi zaščiteni).

 

»Če ga dobite, je ravno tako nevaren, kot katerikoli drug,« je povedal Randy Abrams, direktor tehničnega izobraževanja pri Eset Software, izdelovalcu NOD32 Antivirusa. »Res da ne napade vašega BIOS čipa, niti ne krade bančnih podatkov, a ko imate enkrat odprta stranska vrata, se zlahka dobi kakšnega bota ali še kaj več.«

 

ESETovi proti-virusni strokovnjaki so prvič slišali za WGA impersonatorja, poimenovanega Win32/IRCBot.OO 29. junija, svoj primerek pa so dobili 1. julija. Ampak Abrams priznava, da ni bil prioritetno obdelan, saj kar se tiče groženj, je ta šele na 1400 mestu na Esetovi lestvici groženj.

»Izbira imena je očiten znak, da gre za napad na WGA. Cilj torej ni toliko napadati uporabnike, kot ustvarjati slabo publiciteto za Microsoft«, je dodal Abrams.

 

Windows Genuine Advantage je sporen pripomoček Windows XP, ki potrjuje, da namestitev ni piratska. Izzval je jezo uporabnikov in dve tožbi zaradi dejstva, da Microsoft ni razkril, kaj pravzaprav počne. Prav tako so bili uporabniki prisiljeni prenesti WGA, ali pa se odreči nekaterim Microsoftovim popravkom programske opreme.

 

Abrams ugotavlja, da je trenutno več imen za isti virus, kot je samih okužb. Gre za večni problem proizvajalcev protivirusne opreme; vsak proizvajalec poimenuje virus po svoje. Ko se pojavi nov virus, je prva skrb najti rešitev, ne skrbeti za protokol poimenovanja je še poudaril Abrams.

Po spisku imen virusov na AV-test.org, AVG imenuje virus Worm/Opanki.IP; BitDefender mu pravi Backdoor.IRCBot.JV, F-Prot ga prepoznava kot novo varianto W32/Threat-HLLIM-based!Maximus, Kaspersky ga imenuje Backdoor.Win32.IRCBotst, McAfee ga je poimenoval W32/Opanki.worm.gen, Sophos pa ga pozna kot W32/Cuebot-K.