Vírusok, átverések 2005

2005 sok munkát hozott az internetbiztonsággal foglakozó szakembereknek. Nagy vihart kavartak idén is a vírusok és internetes átverések. A vírusok írói idén sem pihentek, néhány kreálmányuk nagy fejtörést okozott a vírusszakértőknek és sok bosszúságot a végfelhasználóknak. Alább összefoglaltuk a 2005. év hónapjainak "nagy eseményeit".

Január - az adathalászat divatja

Divatba jött az adathalászat. Egyre több a megtévesztett internetező, akit hamisított e-mailek segítségével, olyan website-okra terelnek a "phisherek", amelyeken valamilyen módon megpróbálnak hozzáférni személyes pénzügyi adataikhoz - például a bankkártya számához, felhasználói nevekhez és jelszóhoz vagy a társadalombiztosítási számhoz. Az általában "social engineering" (félrevezető üzenet) alkalmazók gyakran e-mailben csábítják a felhasználókat rosszindulatú kódokat tartalmazó weboldalak látogatására. A W32/Sober.k@MM férget január 30-án fedezték fel, és 31-én sorolták a közepesen veszélyes kategóriába, megnőtt megjelenési gyakorisága miatt.

Február - a magyar vírus az élen

Az év második hónapjában a Mydoom új variációja okozott bosszúságot a felhasználóknak. A Mydoom.be vírus a korábbi verziókhoz hasonlóan e-mailen terjedt és ez a variáció is tartalmazott saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldheti magát a fertőzött gépről összegyűjtött címekre. A Sober továbbra is jelentős fenyegetést jelentett, s a megjelent új verziója újra reflektorfénybe helyezte az aktuálisan K-jelű férget. A legtöbb kárt mindezek ellenére a magyar eredetű Zafi.B okozta ebben a hónapban, amely szintén az úgynevezett social ingeneering módszerrel próbálta megtéveszteni a gyanútlan felhasználókat.

Március - a mobil vírusok

A hónap folyamán komoly aggodalmak jelentek meg a mobilvírusokkal kapcsolatban. Az első MMS-vírus arra irányította rá a szakértők figyelmét, hogy az operációs rendszerrel ellátott okostelefonok támadhatóvá váltak a kártékony kódok írói számára. A Commwarrior névre keresztelt vírus Symbian Series 60 operációs rendszert futtató Nokia okostelefonokat fertőzte. A károkozó azért látszott veszélyesnek, mert a mobil eszközök közti adatkommunikációt szolgáló Bluetooth vezeték nélküli technológia mellett a sokkal elterjedtebb MMS-üzenetekben terjeszti magát. A hagyományos vírusok és férgek mellett egyre több kártevő jelent meg a különféle azonnali üzenetküldő alkalmazásokra is. A szakemberek szerint egy ilyen vírus akár néhány másodperc alatt is globális járványt okozhat.

Április - egyre veszélyesebb spyware-ek

A mobilosok legújabb mumusa a Fontal.A nevű trójai program volt, amely szintén mobilkészülékeket fertőzött. Noha a kártékony trójai nem terjedt magától, a fertőzés legvalószínűbb útjának az IRC, illetve fájlmegosztó rendszereken keresztül a program letöltést, majd installálást jelölték meg a vírusvédelmi szakemberek. Egyre inkább előtérbe kerültek azok a programok, amelyek ugyan különösen nagyobb kárt nem okoznak, viszont adatainkat, címünket illetéktelenek birtokába juttatják. A spyware és az adware programokat egyre inkább a kártékony kódok közé sorolják. Kevésbé veszélyesek ugyan, mint a vírusok és férgek, mégis sok bosszúságot okoznak a felhasználóknak.

Május - ipari kémkedés

A 2006-os foci VB-re jegyeket kínáló mellékletet tartalmazott a májusi Sober.k variáció, a trükk annyira bejött, hogy a vírus óriási fennakadásokat okozott több vállalatnál is. A FIFA nevében levelet küldő vírus terjedési csúcsokat döntögetett Európában a felhasználók figyelmetlenségére építve. A május másodikán azonosított vírus a W32/Sober.k@MM, nem csak Európában okozott közepes szintű fertőzöttséget, hanem a tengerentúlon is.

Óriási botrány robbant ki Izraelben, ahol több ismert vállalati vezetőt és magánnyomozókat tartóztattak le azzal a gyanúval, hogy ipari kémkedés céljából trójai vírust és kémszoftvereket használtak konkurenseikkel szemben. Az érintett cégek magánnyomozókat béreltek fel, akik azután a vírust a konkurens vállalatok ellen fordították, és segítségével számos bizalmas adatot csempésztek ki. Az izraeli, német, valamint amerikai FTP-szervereken lefoglalt adatok révén az ügy egyre nagyobbra dagadt, és kiderült, hogy a feltételezettnél több vállalat érintett.

Szintén időről-időre újabb fenyegető mobilvírusokról érkeztek hírek, ezek egyike volt az autókat, konkrétan a gépkocsik fedélzeti rendszereit támadó vírusokról szóló. A finn F-Secure biztonsági cég megelégelte a kialakult helyzetet és egy kísérletet végzett, amelynek a célja egy Toyota fedélzeti rendszerének a Bluetooth-kapcsolaton keresztül történő megfertőzése volt egy mobiltelefonról. A finn vállalat egyik szakértője megpróbálta a 42 méterrel a föld alatt lévő helyiségben lévő Toyota Pius fedélzeti számítógépét megfertőzni egy Cabir vírussal. A szakember minden lehetséges Bluetooth-hackelési módszert bevetett ugyan, a kísérlet sikertelenül végződött.

Június - szimulált cyber-háború

A CIA egy "Silent Hunter" névre keresztelt gyakorlatot tartott, amelyben arra kereste a választ, hogy egy összehangolt, interneten zajló támadás esetén milyen károkat lennének képesek okozni a hackerek a kormányzati rendszerekben és a fontos objektumokban. A "kitalált" ellenség egy nagyobb globalizáció ellenes szervezet volt, amely az egész internetet cyber-háborús övezetté változtatta a gyakorlat tervei szerint. A szimulációban mintegy 75 kormányzati és magán szervezet vett részt, azzal a céllal, hogy rendszereik védettségéről, biztonsági kockázatairól nyerjenek információkat a szimuláció segítségével.

Új támadási stratégiáról számolt be júniusban a sajtó. Egy koordinált e-mail támadás lehetőségét vetette fel, hogy három különböző vírus együttműködve támadta az internet működőképességét. A Glider-AK a gyors terjedésért volt felelős, a Fantibag Trojan a biztonsági rendszereket és az antivírusokat igyekezett kiiktatni, végül pedig a Mitglieder a nyitott "hátsó ajtón" keresztül vette volna át az irányítást a fertőzött gép felett. A "zombi" gép ezután könnyen távirányíthatóvá vált volna. Michael Jackson öngyilkosságának álhírét keltette egy vírus, kihasználva a Jackson-per médianyilvánosságát. A vírus szokványossá vált e-mail féreg volt, amely súlyosabb esetben távírányítható zombivá alakíthatta gépünket.

Július - felfüggesztett a Sasserért

A Sasser vírus megírásával és elterjesztésével gyanúsított tizenkilenc éves német fiatalember pere lezárult. Sven Jaschan egy év kilenc hónap felfüggesztett börtönnel megúszta a "kalandot". Az Észak-Németországban letartóztatott tizenkilenc éves Jaschant, azért állították bíróság elé, mert alaposan gyanúsítható volt a 2004-ben jelentős károkat okozó Sasser féreg készítésével és elterjesztésével. A fiatalember a tárgyaláson bevallotta, hogy valóban ő a féreg alkotója, sőt a NetSky vírus is az ő számítógépéről került az internet világába. Jaschant egyébként jutalom reményében az egyik barátja adta fel a Microsoft által meghirdetett vírusellenes kampány hatására.

A hónap vírusa a Mytob volt, amely rendkívüli mutálódó képességével emelkedett ki a vetélytársai közül. A féreg variációi a nyár folyamán kezdtek átláthatatlanná válni, miután a mutációi száma elérte a százat.

Augusztus - a médiatámadó vírus

A hónap közepén a Zotob vírus megtámadta a médiát. Meglepő, de a legnagyobb európai és amerikai médiavállalatokat szinte működésképtelenné tette egy viszonylag ártatlannak látszó vírus. A féreg a terjedéséhez egy, a kifutóban levő Windows 2000 operációs rendszerében rejtőző hibát használt ki. Ennek ellenére számos nagy médiavállalat, köztük a CNN, az ABC News, a The New York Times és a Financial Times működésében is komoly zavarokat okozott a vírus.

Ugyanebben a hónapban vírustámadás ért több amerikai repülőteret is. A támadás miatt New York, San Fransisco, Miami, Los Angeles, Houston és Dallas repülőterein álltak le az informatikai rendszerek. A fennakadások miatt több ezer utas rekedt a légikikötőkben. Augusztus érdekessége volt a tíz nyelven beszélő vírus. Az MSN Messenger szolgáltatását felhasználó féreg mintegy 10 különböző nyelven volt képes üzenetét megjeleníteni.

Szeptember - az igazhitű vírus

Titkos dokumentumokat tulajdonított el egy új vírus szeptember első napjaiban. A Myfip.H lopakodó féreg vállalati hálózatokat vett célba, és bizalmas dokumentumokat tulajdonított el. A rootkit féreg kernel módú, fejlett rejtőzködési technikát alkalmazva, észrevétlen maradt a rendszergazdák és a hagyományos vírusvédelmi szoftverek számára.

Allah nevében tiltott szexoldalakat a Yusufali. Rendkívül érdekes és kivételesen kevés kárt okozó módját választotta a "nevelő célzatú oktatásnak" néhány mohamedán programozó. Az általuk létrehozott vírus ugyanis ártalmatlan volt, azonban megakadályozta, hogy az igazhítűek meglátogathassák - a hivatalosan számukra egyébként is tiltott - internetes pornóoldalakat. A Yusufali Korán-idézetekkel és állandó restarttal kergette a felhasználókat őrületbe. A szokatlanul csendes szeptemberi toplistát a Netsky-P vezette alacsony szintű jelenléttel.

Október - a madárinfluenza vírus

A hónap második hetében 8 új Mytob változat jelent meg. Egyes szakértők szerint ez a támadás a víruscsalád újabb terjedési hullámát jelezte. A vírus azonban különösebb károkat nem okozott. A nagy médiafigyelmet kapott madárinfluenza természetesen a vírusírókat is megihlette. A Naiva.A névre keresztelt furfangos trójai e-mail mellékleteként terjedt azon felhasználók körében, akik beugrottak a "Kitört a járvány Amerikában" címmel ellátott csatolmányoknak. A szakértők ugyan felhívták számtalanszor a felhasználók figyelmét arra, hogy mi történik, ha ellenőrizhetetlen helyről származó levélmellékletet nyitnak meg, de a régi trükk mégis bevált, mert a téma érdekessége elterelte a felhasználók figyelmét a vírusveszélyről.

November - az "időzített divat"

Meglepő hírrel kezdődött a november. A vírusírók úgy tűnik, már nem éreztek bűntudatot abban az esetben sem, ha nyílt forráskódú rendszereket támadó vírust szabadítanak a világra. Az új Linux-féreg egy XML-PHP hibát célzott meg. A szakértők szerint ugyan ez a vírus nem volt a legveszedelmesebbek közül való, de azzal, hogy megpróbált távoli hozzáférést engedélyezni a géphez, épp elég kellemetlenséget okozhatott a felhasználóknak.

Egyre jobban divatba jöttek az időzített vírustámadások. A víruskészítők egyre gyakrabban próbálták meg kihasználni az antivírusgyártó cégek szakemberei számára elfoglaltságot jelentő eseményeket. Októberben a Sober.R a dublini Virus Bulletin konferencia alatt bukkant fel, novemberben pedig a Win32/Sober.X készítői indítottak útnak egy nagyobb fertőzéshullámot, miközben a vírusvadászok Washingtonban és Kína több városában képezték magukat. Novemberben a Sober-vírus volt a legütősebb. A féreg készítője az FBI-os trükkel milliókat vert át. A Sober-Z e-mail mellékletként érkezve azt állította, hogy az FBI-tól érkezett és a felhasználót illegális oldalakon tett látogatásokkal gyanúsítja. A szapora Sober-féreg egy új változata az ismeretlenségből a novemberi listavezetőségig jutott.

December - a "messengeres" vírus

Ismét körbefertőzték a világ számítógépeit a Sober-vírus új változatai és a jónak semmiképpen sem nevezhető "áldásból" ezúttal kijutott a Microsoftnak is, amelynek egyszerre két népszerű szolgáltatása, a Hotmail levelezőrendszer és az MSN is ideiglenesen megbénult. A kártevő Win32/Sober.Z@mm verziója hatalmas mennyiségű e-maillel árasztotta el a Hotmail és az MSN szervereit, így bénítva meg az e-mail forgalmat. A Microsoft kénytelen volt reagálni a támadásra.

A szomorú, de láthatóan tetemes listát a karácsony előtt megjelent legújabb kártevő zárja, amely elsősorban az azonnali üzenetküldőket (ICQ, különböző messengerek) használó internetezőket támadja. A GiftCom nevű vírus kifejezetten rosszindulatú, mivel egy látszólag ismert partnertől jön, így gyanútlanul megnyithatjuk. A magyar felhasználók szempontjából szerencsés, hogy az üzenet angol nyelvű, amivel egy AOL felhasználói oldalra invitál bennünket, ezen a lapon van maga a vírus.

Reméljük, hogy az év végéig már nem sok kellemetlenséget okoznak a vírusok írói. Jövőre pedig minden kezdődik újra.