Dust - mobilvírus-bemutató

Dust bemutató - azaz Windows Mobil vírus ma már valóság - jelentette be a Kaspersky Labs a Microsoft mobil operációs rendszer a Windows CE .NET. első vírusának észlelését. Az operációs rendszer PocketPC-k és okostelefonok operációs rendszerén fut. A Win.CE.Dust.a egy klasszikus élősködő vírus mérete 1520 byte. A mobil berendezéseken küldött e-mailben terjed elsősorban, elődjéhez hasonlóan fizikai kapcsolat nélkül.

Terjedhet azonban az interneten, cserélhető flash-memória kártyán, PC-szinkronizáción, és a terjedéshez képes kihasználni a Bluetooth technológiát is. A már leírt párbeszédpanel megjelenik, amikor a gépre jut, és ha igen választ ad a felhasználó, a Dust behatol a My Device (gyökérkönyvtár) mindent 4 kbyte-nál nagyobb méretű futtatható állományába. A fertőzés végén a vírus egy állomány végére írja kódját, és megváltoztatja belépési pontját. E mellett a fertőzött fájlokban lévő empty header - üres fejléc - területét megjelöli "atar" szöveggel, ezzel megelőzi a felesleges újra fertőzést. A Dust, bár kritériumai alapján (fertőz, terjed, szaporodik) valódi vírus, de semmilyen rendszerre ártalmas kódot nem tartalmaz.

A nyár hagyományosan a vírusjárványok ideje: múlt évben egyaránt stresszelte a nyáron írt Lovesan, Sobig és Loveletter mind a felhasználókat, mind a biztonsági szakembereket.

A vírusírók egy csoportja a rosszindulatú kódjaival bebizonyította hogy a megfertőzhetetlen rendszer elmélet nem igaz. 2004 úgy néz ki a meglepetések nyarát hozza a vírusok terén: kísérleti kódokat arra, hogy a lehetetlennek hitt fogalmak megváltozzanak. Ezt eddig is vírusokkal tették, mint az első mobiltelefon-vírus, a Cabir, az első 64 bites rendszerekre ártalmas Rugrat - melyeket nem széleskörű károkozás miatt írtak, hanem az volt a cél, hogy megmutassák, hogy az új operációs rendszerek, technológiák éppoly fertőzhetőek, mint más rendszerek.

Az a meglátásom, hogy a technológiák biztonsági réseit felkutató "utolsó lovagrendek" is lassan megszűnnek, mind a hackerek, mind a vírusírók körében. Ekkor még az volt sokuknak a célja, hogy károkozás nélkül megmutassák a maguk módján a különböző rendszerek sérülékeny pontjait, fertőzés veszélyeit. Mi igen sajnálatos módon helyüket egyre inkább átveszi a kihasználható, sok esetben államilag dotált információszerzés, kémkedés, haszonszerzés. Egyik ilyen utolsó szervezet a nemzetközi 29A vírusíró csoportot, akik az eddig említett vírusokat megírták. Nem feledve azt, hogy az internetre jutó minden vírus káros - hozzá kell tenni azt, hogy termékeikben nem volt olyan kód, mely a megfertőzött rendszert tönkretette volna.

A legutolsó ilyen vírusprogram a Win.CE.Dust.a, mely az eddig vírusoktól érintetlen Windows CE NET operációs rendszert használó eszközöket fertőz meg. A vírus fertőzés előtt még illedelmesen engedélyt is kér: "Dear User, am I allowed to spread?" (Kedves felhasználó engedélyezi elterjedésemet?). A fertőzés akkor kezdődik, ha a kérdésre igennel válaszolnak (általában sajnos). Ekkor a vírus megfertőzi a rendszer, a Pocket PC (My Device) gyökérkönyvtárának PE (.exe) állományait.

A Dust a megjelenése, megírása figyelmeztetés is egyben, egy vészharang, ami azt jelzi, hogy a technológia és operációs rendszerek igen gyors fejlődésének minden lépését igen gyorsan követik a rosszindulatú kódok is.

"A Dust egy rosszindulatú program, mely jelzi, és bemutatja azt, hogy Windows Mobil is ki vannak téve a vírusfertőzésnek. Az elvégzett tesztek szerint a kód a megfelelő környezetben igen hatékonyan szaporodik - mondta Eugene Kaspersky, a Kaspersky Labs kutatási vezetője. "Nem számítunk tömeges fertőzésre, hiszen a kód jelzi fertőzési szándékát a felhasználónak."

"A múlt hónap az eseményei igazán zavaróak. A számítógép underground megragadta új lehetőségként a mobil berendezéseket. Még most nem lehet tudni, hogy mikor írnak olyan kódot, ami ártalmas utasításokat tartalmaz, amik mobil eszközökön terjednek. Ezek globális kitörése, fertőzése sajnos egyre közelebb, és közelebb van" - összegezte Eugene Kaspersky.

Dr. Papp Géza
Networksecurity and Virusanalyst