DoomJuice.B: újabb féregvariánsokkal bombázzák a Microsoft lapját

Geza Papp, 2004. február 11. 12:12
A Mydoom szerzőinek új férgei másik, új támadást indítottak a www.microsoft.com ellen. Önmaga a féreg is bizonyíték lehet a szerzők személyére.

Febr. 9 -én 21:51 kor küldte az első jelzést az F-Secure, majd 0:16 - kor, ma 10 és 18 órakor a VirusBuster egy tulajdonságaiban a Mydoom - ra nagyon emlékeztető hálózati féregről, majd nem sok idővel utána egy másikról. A Sophos mindezeket megerősítette. Ettől függetlenül a levelező listákon mát tegnap óta "ádáz vita" folyik ezzel kapcsolatban. Most már rájöttem, hogy a Netcraft jelzését jól láttam..., tényleg támadták a szoftveróriást tegnap, és rövid ideig elérhetetlenné vált.

Ezek után a ma hajnali és esti hírek nem leptek meg. A két nem várt, de sejthető vendég megérkezett e két napon:






W32/Doomjuice-A

Aliases

W32/Doomjuice.worm.a,W32.HLLW.Doomjuice,WORM_DOOMJUICE.A,Win32.Doomjuice.A, Worm.Win32.Doomjuice

W32/Deadhat-A

Aliases

Win32.Vesser.A, W32.HLLW.Deadhat, Vesser, W32/Vesser.worm.a

Ezt követően csak az értesítéseket kellett olvasni. Mikko Hypponen, aki nagyon a "szívén viseli" mindezt az alábbiakat nyilatkozta hajnalban, és délelőtt:

Egy új hálózati férget találtak, a Doomjuice -t. Mint neve is mutatja a MyDoom-al valami hasonlóság már azonnal feltűnt az észlelőnek. Mint kiderült nem tévedett. A féreg igen szoros kapcsolatban áll a MyDoom -al több szálon is. A legelső, a legszembetűnőbb, hogy elsősorban azokat a gépeket fertőzi, melyeket a MyDoom.A már "letarolt", meghagyva a 3127 port hátsóajtó részét. A fertőzés, és a terjedés kezdeti szakasza nem lesz látványos, nem spam-tömeggel kezdődik, egyszerűen a gép tulajdonosának alvása közben is akár a nyitott porton keresztül bejut. Elvileg e-mail fertőzés nem várható.







A fertőzés után azonnal a Doomjuice egy világszerte kiterjesztett DDoS támadásba kezdett - igen sok gépről - az egyik legnagyobb, és legforgalmasabb lap, a Microsoft lapja ellen. Eddig a tegnap déli kimaradáson túl sok mindent nem lehetett észrevenni. A lap elérhető, a frissítések letölthetők - sőt a cég ma is adott ki agy hibajavítót http://www.microsoft.com/technet/security/bulletin/MS04-007.asp. Minden jel azt mutatja, hogy "jó lecke volt" a Mydoom.B támadása.


Doomjuice azok között számítógépek a között terjed, melyeket már megfertőzött a Mydoom.A féreg. A terjedéséhez kiválóan alkalmas a Mydoom.A által létrehozott hátsóajtó. Ha a gépre kerül, a nyitott backdooron át azonnal keresni kezdi a többi számítógépet, és ha olyat talál, melyet a MyDoom.A megfertőzött, a hátsó ajtón feljut rá.


A Doomjuice terjeszti (drops) a Mydoom eredeti forráskódját, majd a féreg archiválja azt a fertőzött gép egy mappájában. "Ez a bizonyíték szerintünk arra, hogy a Doomjuice és Mydoom írója azonos személy." - magyarázta Mikko Hypponen, az F-Secure vírusszakértője, és egyben vezetője - első alkalommal, amikor a Mydoom fertőzés volt, sehol nem lehetett ezzel találkozni, senki nem talált olyan férget, mely tartalmazta volna a forráskódot."




"Mindennek (a forráskód "szétszórásának") az indoka igen egyszerűnek tűnik, és logikusnak: A vírusírók tudják, hogy a hatóságok keresik őket. A legjobb bizonyíték az lenne, ha, mint a mesében: egy adott számítógépen, annak használóját ismerve megtalálnák a kódot". Eddig csak egy merevlemez, vagy más adathordozó tartalmazta ezt, most, hogy a Doomjuice "szétszórja" több ezer " - mondta Hypponen.

A férget úgy programozták, hogy az írók által "vereségként elkönyvelt sikertelen támadás miatt" azonnal DDoS-t indítson a Microsoft lapjai ellen. Egyes vélemények szerint ezentúl igen sokáig lehet számítani kisebb támadásokra - adattúlcsordulásos támadásra, vagy arra, hogy a féreg esetleg a címlapot néha törli.

http://www.f-secure.com


A Sophos rangidős vírusszakértője G. Cluley nyilatkozott, ugyanazt mondja, mint a Hypponen.




Az utolsó képek a Rommon statisztikái.

Ma hajnalban 06:56 GMT jelentették be, hogy újabb variánsát detektálták a MS elleni DDoS támadásban a DoomJuice vírusnak. Úgy néz ki, hogy az írójuk nem adja fel a harcot... Az új variáns a DoomJuice.B, mindössze 5.120 byte. A támadáskor kihasználja még az MS szerver http kapcsolatait is, melyeket megfertőzve nagyobb erővel képes támadni. Ezt hivatalosan - Wed, 11 Feb 2004 04:46:49 +0000 - jelentették be. Hypponen jelezte, hogy az új féreg nem Doomjuice, hanem Mydoom variáns, hajnalban kb 50.000 gép felhasználásával vett reszt a támadásban az MS honlap a 3127 - port ja ellen. Ugyanekkor, elmondja még, hogy az új támadóvariáns vélhetően a MyDoom.A UPX tömörítéssel.

Azt hiszem lényegtelen jelen esetben, hogy a legújabb, hajnalban észlelt variáns milyen nevet visel, ill. melyik féreg tömörített változata. Ami azonban fontos, hogy kitartóan, újabb féregvariánsokkal bombázzák a Microsoft lapját - mentesen attól a kockázattól a forráskód szétszórása miatt, hogy ez "árulkodó nyom" lesz az írója gépén.

Minden változást jelzünk, de a cikkben szereplő hivatkozásokon követhetőek az események.