Körbefertőzte a világot a Zotob

A támadás érintette a CNN és az ABC News amerikai hírcsatornákat, valamint a New York Times amerikai napilapot is. A CNN az üzemzavarról műsorát megszakítva számolt be.

Egy eddig nem azonosított kártevő vagy a Zotob, illetve annak egyik változata lehet felelős a pusztításért. A szakemberek a múlt héten figyelmeztették a felhasználókat, hogy megjelent a Zotob nevű új vírus amelyik - kihasználva egy biztonsági rést - a Windows 2000 operációs rendszereket futtató számítógépeket támadja. Azt azonban egyelőre sem a Microsoft, sem pedig a McAfee számítástechnikai biztonsági cég nem erősítette meg, hogy a Zotob állhat az újabb támadások mögött.

A Time Warner médiakonszernhez tartozó CNN mellett fennakadások voltak a General Electric, az United Parcel Service (UPS) futárszolgálat és a Caterpillar óriáscégeknél is. A GE szóvivője azonban cáfolta az üzemzavarokat, míg a UPS-nél csak néhány számítógépet érintett a vírustámadás. A Spiegelnek nyilatkozó szakértők szerint azonban egyre valószínűbb, hogy a támadások hátterében a Zotob féreg és különböző változatai (Rbot.cbg, SDBot.bzh és Zobot.d) álltak. Az érintett cégek sorát gyarapítja időközben az Associated Press (AP) hírügynökség, de a vírus hatása érezhető volt a Disney, a Kraft Foods, valamint a DaimlerChrysler rendszereiben is.

"A kártevő nagyobb problémát jelent a hálózatba kötött számítógépekkel rendelkező vállalatoknak, mint az átlagfelhasználóknak." - jelentette ki David Perry, a Trend Micro számítástechnikai biztonsági cég képviselője. A Zotob lemásolja önmagát, de nem pusztítja el az adatokat, "csupán" meggátolja a számítógépek közötti adatforgalmat. Ráadásul a Zotob azért is különösen veszélyes, mert a Microsoft tájékoztatása szerint a felhasználó elvileg észre sem veszi, ha megfertőződik a PC-je. A Zotob iránti gyanút erősíti az a tény is, hogy a CNN-nél a Windows 2000 operációs rendszert futtató számítógépek kergültek meg és indították újra magukat rendszertelen időközönként.

A Zotob a 445-ös TCP-porton keresztül keres megtámadható rendszereket, majd ha talál egyet, feltelepíti rá magát. A megfertőzött számítógépen aztán a vírus egy ftp-szervert "állít üzembe", amelyik a 29463-as porton keresztül figyeli, hogy van-e még megtámadható gép a rendszerben. Mindemellett a kártevő a 6667-es porton keresztül megnyitja a Windows 2000 parancssorát és így a férget útjára indító támadó megszerezheti a teljes ellenőrzést ellenőrzést a megfertőzött PC felett.

A kártevő ellen már jóideje letölthető a Microsoft hivatalos javítása, de a szakemberek szerint már az is segít, ha egy olyan tűzfalat telepítettek a számítógépre, ami blokkolja az érintett portokhoz való hozzáféréseket. Tegnapig az F-Secure összesen kilenc kártevőt fedezett fel, amely kivétel nélkül ugyanazt a sebezhetőséget használja ki. Ezek közé tartoznak az Ircbot, az SDBot, valamint a Bozori család különböző változatai. Tapasztalataik szerint azonban a vírusok nemcsak az operációs rendszer, hanem egymás gyengéit is igyekeznek kihasználni. Mikko Hyppönen, az F-Secure anti-vírus kutatási igazgatója egyenesen háborúról beszélt: "Úgy tűnik, hogy botháborúval állunk szemben. Nyilvánvalóan három vírusíró bandáról van szó, akik riasztó sebességgel jelentetik meg az új vírusokat - mintha azért versengenének, hogy ki birtokolja a fertőzött számítógépekből álló legnagyobb hálózatot."

A Reuters beszámolója szerint az amerikai vállalatok a jelek szerint mostanára felülkeredtek a behatolások okozta felforduláson, és többé-kevésbé helyreállították rendszereiket. Bár csak néhány ezer számítógép fertőződött meg, szakértők arra figyelmeztettek, hogy a vírusírók egyre gyorsabb ütemben bocsájtják ki kártevőiket. "Ezek a srácok igencsak belehúztak... mostanra jóval gyorsabban dolgoznak, és a rendszeradminisztrátorok nem tudják tartani a lépést" - modnta Ero Carrera, az F-Secure kutatója.