Októberi vírusstatisztika: 1817 rosszindulatú kód

A Trend Micro vírusfigyelő központja statisztikájája szerint a tíz legelterjedtebb rosszindulatú kódot tartalmazó listáját a szokásos szereplők töltik meg.

A szeptember 25. és október 25. közötti időszak viszonylag csendesnek bizonyult a vállalat megfigyelése szerint. A múlt hónaphoz képest nagyon kevés, bár fontos változás történt a listában. A TrendLabs összesen 1817 rosszindulatú kódot észlelt 2004 októberében - ez a szám 22%-os növekedést jelent az előző hónaphoz képest. A tízes lista kódjai által okozott összes fertőzés több mint 20%-kal kevesebb az előző havinál. Egyes kódok, különösen a WORM_NETSKY.P fertőzéseinek száma azonban nőtt.


A tíz legelterjedtebb rosszindulatú kód
A leghírhedtebb fenyegetések listájának élén eltöltött három hónap után a SASSER féreg támadásai ritkulni látszanak. Számottevően csökkent a WORM_SASSER.B fertőzések száma, ami akár annak a jele is lehet, hogy egyre kevesebb a frissítetlen, az LSSAS biztonsági rést nyitva hagyó rendszer. Ez a legutolsó SASSER változat, amely az elmúlt hónapokban a lista első helyén állt, az októberi listán nem szerepel.

Ezzel párhuzamosan a NETSKY átvette a vezetést. A SASSER.B helyének elfoglalása mellett a WORM_NETSKY.P - az elmúlt hónapok legszélesebb körű fertőzését magáénak tudó NETSKY változat - jelentős mértékű, 30%-os növekedést mutatott az előző hónaphoz képest. Ezzel a WORM_NETSKY.P összes fertőzésének száma március óta világviszonylatban meghaladja a kétmilliót, ami a WORM_SASSER.B fertőzéseinek közel háromszorosa. A WORM_NETSKY.P mellett négy másik NETSKY-változat is található a tíz legelterjedtebb rosszindulatú kód között. Ezek a lista tíz szereplőjénél regisztrált összes fertőzés mintegy felét (45%) teszik ki.


NETSKY-fertőzések (2004. február - október)
Múlt hónapban a tetőpontot jelentő ez év áprilisi támadások óta a NETSKY fertőzésszáma először csökkent 400 000 alá, ami az áprilisi adatnak körülbelül ötöde. Ez még mindig magasnak tekinthető, legfőképp azért, mert a NETSKY férgek alapvetően az emberi hiszékenységet használják ki terjedésükhöz. Ebben a hónapban azonban a fertőzések száma április óta először ismét emelkedni kezdett és elérte a 400 ezres értéket.

A NETSKY folyamatos jelenlétének legfontosabb tényezője annak a láthatóan kiirthatatlan szokásnak a kihasználása, amely szerint a felhasználók előszeretettel nyitják meg az - akár ismeretlen forrásból érkező - e-mailek mellékleteit. A SASSER féreggel ellentétben, amelynek nincs szüksége felhasználói közreműködésre a terjedéshez, a NETSKY ezen emberi biztonsági rés segítségével terjed.

A trójai és bot programok aránya tovább növekszik

A trójai programok száma tovább növekszik, és a Trend Micro által az elmúlt hónapban észlelt rosszindulatú kódok döntő részét teszik ki. Az október folyamán felfedezett trójai programok teljes száma közel 30%-kal több az előző havi értéknél, ezek adják a hónap során felfedezett összes rosszindulatú kód több mint 47%-át. Ez a szám 45%-os növekedést jelent az előző hónaphoz képest. A hátsó ajtót nyitó programokkal együtt az észlelt rosszindulatú kódok közel 65%-a trójai.

A kártékony kódok második leggyakoribb típusa a féreg. Ezek alkotják az októberben felfedezett kódok mintegy 30%-át. Ez a szám nagyjából megegyezik az előző havi értékkel. Amint az az előző hónapok adataiból kitűnt, a bot programok továbbra is az észlelt férgek 75%-át teszik ki. A bot programok nem csökkenő jelenléte is jól mutatja a bot "zombi" hálózatok terjedését. Mivel a bot programok általában hátsó ajtót nyitó komponenst is tartalmaznak, elosztott túlterheléses (DDoS) jellegű támadások alapját képezhetik. Napjainkban már a leggyakoribb biztonsági réseket is kihasználják terjedési és fertőzési képességeik növelése érdekében.


2004 októberében felfedezett rosszindulatú kódok típus szerint
A legújabb trendek szerint a botok támadásai gyakran üzleti alapúak. A bot programok hátsó ajtó funkciói segítségével a rosszindulatú felhasználók információt lophatnak a fertőzött rendszerekből, amelyeket később értékesíthetnek. Egyes szerzők hacker fórumokon vagy egyéb hasonló on-line találkozóhelyeken teszik pénzzé műveiket. Megint mások botokkal fertőzött rendszerek hozzáféréseit árulják.

Öt hónappal a megjelenés után a PE_ZAFI.B még mindig fenyeget

Idén júniusban fedezték fel a magyar eredetű, romboló hatású, fájlfertőző PE_ZAFI.B férget, amely biztosította első helyét a legelterjedtebb rosszindulatú kódokat rangsoroló listán, lejjebb szorítva a féktelenül burjánzó NETSKY hat különböző változatát. Ma, öt hónappal később, továbbra is jelentős fenyegetést jelent. A lista második helyénél soha nem csúszott lejjebb.


PE_ZAFI.B fertőzések 2004 júniusa és októbere között
A fájlokat támadó féreg fertőzései nagymértékben csökkentek júniusi megjelenése óta. Ebben a hónapban a fertőzések száma az előző havi értéknél 35%-kal kevesebb, és a júniusinak csak mintegy 30%-a. Ennek ellenére a PE_ZAFI.B kitartó jelenléte a tíz legelterjedtebb rosszindulatú kód között különösen azért fontos, mert romboló hatású fájlfertőző programról van szó. A PE_ZAFI.B felülírja a véletlenszerűen választott mappákban talált .EXE fájlokat. Módszere az .EXE fájlok törlése és saját másolatainak elhelyezése a törölt fájlok nevének felhasználásával. Emellett letiltja a "regedit", "msconfig" és "task" kifejezéseket tartalmazó folyamatok futtatását.

Elterjedtségét ugyanazon technikáknak köszönheti, amelyek már az eddigi leggyakoribb rosszindulatú kódok, mint például a BAGLE vagy a NETSKY esetében is hatásosnak és hatékonynak bizonyultak. Tömegesen küldi el magát a fertőzött rendszerből gyűjtött e-mail címekre, legtöbbször az általa meghatározott levelezőszervereken keresztül. A felhasználókat pedig úgy veszi rá a melléklet megnyitására, hogy hangüzenetnek, pornográf fotónak vagy elektronikus képeslapnak igyekszik feltüntetni a küldeményt.

Az ilyen féreg peer-to-peer hálózatokon is képes terjedni. Az általa megosztottnak vélt mappákba csalogató fájlnevekkel helyezi el saját másolatait, valamely népszerű alkalmazás telepítőprogramjának utánzásával tévesztve meg a felhasználókat. Sikerét egyértelműen az teszi lehetővé, hogy az emberi hiszékenység kihasználása hatásos terjesztési eszköz. Az ilyen típusú fenyegetések várhatóan nem fognak megszűnni, hiszen az emberi gyengeséget használják ki, ami a hagyományos biztonsági megoldások keretében szinte kezelhetetlen.

Feltámad a MyDoom és a Bagle féreg

Bár a szeptember 25. és október 25. közötti időszak viszonylag csendes volt, a MYDOOM és a BAGLE szerzői megjelentették a figyelemreméltó WORM_BAGLE.AU és WORM_MYDOOM.AA változatokat. A WORM_MYDOOM.AA, az év eleje óta nagy károkat okozó tömeges levélküldők hírhedt családjának egyik legújabb tagja a kódjában megjelenő következő sorokkal hívta fel magára a figyelmet:

Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-ecure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol.

A szerencsés vírusirtóknak ;P~. A Sasser szerzője informatikai biztonsági állást kapott, mi pedig a Mydoommal, P2P férgekkel és biztonsági rések kihasználásával foglalkozunk. Meg fogjuk támadni az f-secure-t, symantecet,trendmicrót,mcafee-t stb. Március 11. a skynet napja lesz. Ha a beagle és a mydoom veszít, abbahagyjuk <== Hol van most a Skynet? lol.

A vírusvédelmi cégek fenyegetése mellett a szöveg arra a híre is reagál, amely szerint egy biztonságtechnikai cégnél dolgozik az a német tinédzser, aki a SASSER és NETSKY férgek állítólagos szerzője. A tizennyolc éves Sven Jaschan programozó gyakornok a SecurePoint vállalatnál dolgozik, miközben Németországban bírósági tárgyalás vár rá számítógépes visszaélés miatt, mivel a vád szerint ő a SASSER féreg szerzője.

A BAGLE tömeges levélküldő féregcsaládnak, amely 11 közepes szintű fertőzési hullámával a legtöbb riasztást okozta idén, 2004 októberében 13 újabb változata jelent meg. A legutolsó riasztást augusztus 31-én a WORM_BAGLE.AI nevű BAGLE-változat okozta. Mivel a BAGLE tartja a fertőzési hullámok számának idei rekordját, és az elmúlt tíz hónapból hatban legalább egy riasztás történt valamelyik BAGLE-változat ellen, adódik az a következtetés, hogy hamarosan újabb BAGLE-támadásnak nézünk elébe.