Július a vírusok tükrében

Július érdekes hónapnak bizonyult, hiszen nem csak az első, mobil eszközöket támadó vírus, a WINCE_DUTS.A megjelenésének lehettünk tanúi, hanem a BAGLE és MYDOOM férgek újjáéledésének is.

Július érdekes hónapnak bizonyult, hiszen a Trend Micro négy közepes szintű globális riasztást adott ki (WORM_BAGLE.AD, WORM_BAGLE.AF, WORM_BAGLE.AH és WORM_MYDOOM.M.). A vállalat az előző havi 950-nel szemben júliusban mintegy 1400 új rosszindulatú kódot (számítógépférget, vírust, trójai és egyéb rosszindulatú programot) azonosított.

A riasztások közül három a BAGLE variánsaihoz tartozott. Miért éledtek most újra? Gyanítható, hogy a NETSKY szerzőjének letartóztatása után tiszta a pálya a BAGLE féreg előtt (emlékszenek a pár hónappal ezelőtti vírusháborúra?). Egy másik tényező, hogy a WORM_BAGLE.AD felfedte saját forráskódját, így a gyakorlott felhasználók - ha úgy tartja kedvük - erre a kódra alapozva létrehozhatják saját új variánsaikat. Ez megmagyarázza a WORM_BAGLE.AF és WORM_BAGLE.AG variánsok megjelenését.

A legújabb variánsok mindegyike nagymértékben alapoz az emberi hiszékenységre: a felhasználókkal elhiteti, hogy az e-mail megbízható forrásból jött, és a csatolt fájl megnyitására buzdítja őket. Még olyan WORM_BAGLE variánsok is léteznek, amelyek jelszóval védik a csatolt fájlt. A futtatáshoz egy jelszót kell megadni, amelyet az üzenet tartalmaz. Ezek a WORM_BAGLE variánsok igyekeznek megakadályozni, hogy saját másolatukat elküldjék a főbb biztonsági szállítókhoz, így megpróbálják lelassítani a felismerést biztosító eszközök szállítását. Ez a művelet azonban nem sok hatással van a végeredményre, mivel a vírusvédelmi cégek nem postafiókjukba érkező mintákra építik tevékenységüket.

A vírusok szerzőjének üzenetei még mindig megtalálhatók a kódban. Ilyen üzenetek például:
In a difficult world
In a nameless time
I want to survive
So, you will be mine!!
-- Bagle szerző, Németország

Ezek a BAGLE variánsok fájlmegosztó (P2P) hálózatokon is terjednek oly módon, hogy másolatukat elhelyezik az ilyen hálózatok által használt mappákba. Természetesen vonzó nevekkel vezetik félre a felhasználókat, akik azt hiszik, hogy filmeket, zenét vagy valami hasonlót töltenek le.

A legfrissebb WORM_BAGLE variánsok - elődeikhez hasonlóan - megpróbálják eltávolítani a WORM_NETSKY fertőzéseket (bizonyítva, hogy a "háború" még mindig tart), és megkísérlik a telepített biztonsági megoldások (például vírusvédelmi szoftverek) leállítását. Ez a működés kikövezi az utat a jövőbeli támadásokhoz, mivel a számítógép elveszíti védelmét. Valószínűleg ez a legnagyobb fenyegetés e variánsok részéről.

Néhány alapvető biztonsági házirend is elegendő e BAGLE variánsok terjedésének megakadályozásához. E férgek gyakran olyan fájlkiterjesztéseket használnak, amelyeket a hálózati felhasználók nem, tehát az ilyen csatolt fájlok blokkolásának beállításával megakadályozható a férgek bejutása a hálózatba. Az ilyen házirendet bevezető ügyfeleinktől pozitív visszajelzést kaptunk erről a megoldásról. Hasonló dolgok mondhatók el a WORM_MYDOOM.M féregről is.

Július 26-án a Trend Micro közepes szintű riasztást jelentett be a WORM_MYDOM.M féreg kapcsán. A korábbi variánsokhoz hasonlóan ez a féreg levelezési szolgáltatásokon keresztül terjed, e-mail üzenetekhez csatolva önmagát. A WORM_BAGLE kódhoz hasonlóan a hiszékenységre építve csapja be a felhasználókat. A legtöbb esetben levelezőrendszer hibáról szóló értesítésnek álcázza magát. A külső e-mail címét is álcázza, így úgy tűnhet, mintha az e-mail egy baráttól jönne. A WORM_MYDOOM.M azonban egy új taktikát alkalmaz az e-mail címek megkeresésére, amelyet Jamz Yaneza, a TrendLabs központ egyik vezető tanácsadója ismertet:

"A WORM_MYDOOM.M az Lycos, Altavista, Yahoo és Google címek használatával rákeres a célpontként kijelölt e-mailek domain-nevére. A keresők listájának "célpont valószínűségszámító" eszközként történő használata kétségtelenül új módszer, és a nagyszámú igény miatt könnyen a szolgáltatás szünetelését vonhatja maga után. Nagyon valószínűtlen, hogy még 10 000 egyidejű kapcsolat esetén is komoly hatással lenne ez a jelenség a keresőkre, mivel e szolgáltatások üzemeltetése elosztott hálózatokon keresztül történik, és nyilvánosan elérhető a világ teljes számítástechnikai közössége számára (amely sokmillió számítógépet jelent). A szolgáltatások leállása vagy érhetőségének megszűnése sokkal inkább az internet-szolgáltatóknak tudható be, és annak, hogy a hálózatok tűzfalai akadályozták az átvitelt, látszólagos kapcsolódásai problémákat okozva. A vírusjelentések félreértése és a keresők listájának valószínű vírusforrásként történő megadása a tűzfalakon is hozzájárulhatott a keresőszolgáltatások elérhetetlenségéhez.“

Az előző variánsokhoz hasonlóan, ez a féreg is hátsó ajtót nyit a számítógépen, amelyen keresztül hozzáférhetővé válik a rendszer. A számítógépet ezt követően a rosszindulatú támadó felhasználhatja más támadások kivitelezésére vagy külső fejlesztőktől származó eszközök telepítésére, melyek információt tulajdonítanak el a rendszerről (pl. jelszavakat, hitelkártya számokat). Ez olyan jelenség, amellyel gyakran találkozunk. Egyre több trójai program és hátsó ajtó jelenik meg, különböző céllal. A cél lehet a támadás elrejtése sok számítógépre, sok számítógép felhasználása egy célpont támadására vagy jelszavak, hitelkártya számok, e-mail címek stb. eltulajdonítása. Az ilyen rosszindulatú kódok által nyitott hátsó ajtók az emberi és digitális rosszindulatú támadók számára is felhasználhatók.

A WORM_MYDOOM.M egy hátsó ajtót helyez el és telepít a fertőzött rendszerekre. Megjelent egy olyan rosszindulatú kód is, amely ezen a hátsó ajtón keresztül terjed - a WORM_ZINDOS.A. E féreg célja, hogy sok számítógép megfertőzésével túlterheléses támadást intézzen a http://www.microsoft.com webhely ellen. Nem a látható kód az igazi fenyegetés, hanem a rejtett, például a trójai programok és hátsó ajtók.

Júliusban egy újabb kísérleti kód is megjelent a mobil eszközökre. Az EPOC_CABIR.A után a WINCE_DUTS.A. Ez a vírus Windows CE környezethez készült, amely Pocket PC eszközökben használatos. A fertőzött fájl futtatásakor minden esetben megjelenik az alábbi ábrán látható üzenet:


A "No" gombra kattintva a rosszindulatú kódot a rendszer átlépi, és folytatja a gazdaprogram futtatását, a "Yes" gomb azonban elindítja a fertőzési rutint. Itt ismét a hiszékenység kihasználásával találkozhatunk. A felhasználó azt hiheti, hogy ha a program rákérdez a futtatásra, akkor nem lehet rosszindulatú, tehát hajlamos a futtatás engedélyezésére. A vírus szerzője, a 29A vírusíró csoportba tartozó Ratter azt állítja, hogy a vírus elkészítésének célja annak bizonyítása, hogy a Windows CE rendszert futtató PocketPC eszközök fájljai fertőzhetők vírusokkal.