2005. augusztus 18. 11:20, Csütörtök
A támadás érintette a
CNN és az
ABC News amerikai hírcsatornákat, valamint a
New York Times amerikai napilapot is. A CNN az üzemzavarról műsorát megszakítva
számolt be.
Egy eddig nem azonosított kártevő vagy a Zotob, illetve annak egyik változata lehet felelős a pusztításért. A szakemberek a múlt héten
figyelmeztették a felhasználókat, hogy megjelent a
Zotob nevű új vírus amelyik - kihasználva egy
biztonsági rést - a Windows 2000 operációs rendszereket futtató számítógépeket támadja. Azt azonban egyelőre sem a Microsoft, sem pedig a McAfee számítástechnikai biztonsági cég nem erősítette meg, hogy a Zotob állhat az újabb támadások mögött.
A Time Warner médiakonszernhez tartozó CNN mellett fennakadások voltak a
General Electric, az United Parcel Service (UPS) futárszolgálat és a
Caterpillar óriáscégeknél is. A GE szóvivője azonban cáfolta az üzemzavarokat, míg a UPS-nél csak néhány számítógépet érintett a vírustámadás. A Spiegelnek nyilatkozó szakértők szerint azonban egyre valószínűbb, hogy a támadások hátterében a Zotob féreg és különböző változatai (Rbot.cbg, SDBot.bzh és Zobot.d) álltak. Az érintett cégek sorát gyarapítja időközben az Associated Press (AP) hírügynökség, de a vírus hatása érezhető volt a Disney, a Kraft Foods, valamint a DaimlerChrysler rendszereiben is.
"A kártevő nagyobb problémát jelent a hálózatba kötött számítógépekkel rendelkező vállalatoknak, mint az átlagfelhasználóknak." -
jelentette ki David Perry, a
Trend Micro számítástechnikai biztonsági cég képviselője. A Zotob lemásolja önmagát, de nem pusztítja el az adatokat, "csupán" meggátolja a számítógépek közötti adatforgalmat. Ráadásul a Zotob azért is különösen veszélyes, mert a Microsoft tájékoztatása szerint a felhasználó elvileg észre sem veszi, ha megfertőződik a PC-je. A Zotob iránti gyanút erősíti az a tény is, hogy a CNN-nél a Windows 2000 operációs rendszert futtató számítógépek kergültek meg és indították újra magukat rendszertelen időközönként.
A Zotob a 445-ös TCP-porton keresztül keres megtámadható rendszereket, majd ha talál egyet, feltelepíti rá magát. A megfertőzött számítógépen aztán a vírus egy ftp-szervert "állít üzembe", amelyik a 29463-as porton keresztül figyeli, hogy van-e még megtámadható gép a rendszerben. Mindemellett a kártevő a 6667-es porton keresztül megnyitja a Windows 2000 parancssorát és így a férget útjára indító támadó megszerezheti a teljes ellenőrzést ellenőrzést a megfertőzött PC felett.
A kártevő ellen már jóideje letölthető a Microsoft
hivatalos javítása, de a szakemberek szerint már az is segít, ha egy olyan tűzfalat telepítettek a számítógépre, ami blokkolja az érintett portokhoz való hozzáféréseket.
Tegnapig az F-Secure összesen kilenc kártevőt fedezett fel, amely kivétel nélkül ugyanazt a sebezhetőséget használja ki. Ezek közé tartoznak az Ircbot, az SDBot, valamint a Bozori család különböző változatai. Tapasztalataik szerint azonban a vírusok nemcsak az operációs rendszer, hanem egymás gyengéit is igyekeznek kihasználni. Mikko Hyppönen, az F-Secure anti-vírus kutatási igazgatója egyenesen
háborúról beszélt: "Úgy tűnik, hogy botháborúval állunk szemben. Nyilvánvalóan három vírusíró bandáról van szó, akik riasztó sebességgel jelentetik meg az új vírusokat - mintha azért versengenének, hogy ki birtokolja a fertőzött számítógépekből álló legnagyobb hálózatot."
A Reuters
beszámolója szerint az amerikai vállalatok a jelek szerint mostanára felülkeredtek a behatolások okozta felforduláson, és többé-kevésbé helyreállították rendszereiket. Bár csak néhány ezer számítógép fertőződött meg, szakértők arra figyelmeztettek, hogy a vírusírók egyre gyorsabb ütemben bocsájtják ki kártevőiket. "Ezek a srácok igencsak belehúztak... mostanra jóval gyorsabban dolgoznak, és a rendszeradminisztrátorok nem tudják tartani a lépést" - modnta Ero Carrera, az F-Secure kutatója.