Prim Hírek

Ha megtekintjük a januári vírusfenyegetések toplistáját, azt látjuk, hogy a rosszindulatú fenyegetések 60 százaléka férgekkel hozható összefüggésbe, így jelenleg is a férgek jelentik a legnagyobb fenyegetést. A mostani adatok azonban azt mutatják, hogy a helyzet egyre összetettebbé válik: egyre több féreg telepít hátsó ajtót a számítógépre.

A hátsó ajtók - a vírusokkal ellentétben - nem rendelkeznek önterjesztő rutinnal. A hátsó ajtók férgekbe ágyazódva (eddig ez nem volt lehetséges), azok segítségével képesek e-maileken, hálózati megosztásokon, az azonnali üzenetküldő és P2P fájlcserélő programokon keresztül terjedni. Ennek eredményeképpen a hátsó ajtók már nem csak egyedi számítógépeket, hanem egész hálózatok biztonságát veszélyeztetik. A gazdaférgekbe beágyazódott hátsó ajtók a hálózaton belül több rendszert is képesek megtámadni, amely azt jelzi, hogy a hálózatok elleni állandóan jelenlevő fenyegetések elleni védelem érdekében a határozott biztonsági irányelvek kialakítása még fontosabb, mint eddig valaha.

A januárban megfigyelt kulcsfontosságú fenyegetések

A TROJ_XOMBE.A január elején jelent meg, és tipikus példája a vegyes fenyegetés technológiáknak. Láttuk már a vírusíró és hacker családok együttműködését. Úgy tűnik most a spamküldők 'családja' is csatlakozott e tevékenységhez.

Amint a neve is mutatja, a TROJ_XOMBE.A egy trójai program (például nem rendelkezik semmilyen kódolt önterjesztő rutinnal). Azonban sokak - állításuk szerint - ezt a rosszindulatú kódot e-mailen keresztül kapták meg, amely azt jelzi, hogy az e-mail valójában egy rosszindulatú kódot tartalmazó csatolt fájllal rendelkező spam. Manapság egyre gyakrabban alkalmazzák a spam technikákat rosszindulatú kódok terjesztéséhez. Ez az e-mail meg is téveszti a számítógép-felhasználókat, mivel a Microsoft cégtől származó e-mailnek álcázza magát (Csatolt fájl neve: WINXP_SP1.EXE, Tárgy: Windows XP Service Pack 1 (Express) - Critical Update). Célszerű megjegyezni, hogy az EXE fájlok kizárását eredményező egyszerű szabály alkalmazása az Internet átjárók szintjén elég védelmet nyújt ezen rosszindulatú kód ellen.

Január 19-én helyi idő szerint délután 2 órakor a Trend Micro az első cégként jelentette be a WORM_BAGLE.A féreg megjelenése kapcsán a sárga szintű riasztást. A támadást egy féreg okozta - kihangsúlyozva ezzel, hogy manapság az ilyen típusú rosszindulatú kódok jelentik az igazi veszélyt. Először az Egyesült Államokban fedezték fel, ahová e-mailen keresztül jutott el. Ezen email jellemzői a következők:

Feladó: álcázott cím

Tárgy: Hi

Csatolt fájl: (véletlenszerű karakterlánc).exe

Szöveg: Test =)

Véletlenszerű karakterlánc

--

Test, yep

A WORM_BAGLE.A féreg ellenőrzi az aktuális rendszerdátumot, és megszünteti működését, ha a rendszer dátuma 2004. január 28. vagy későbbi. A futtatás során ez a féreg megnyitja a 6777 számú portot, ezzel támadhatóvá teszi a rendszert a hackerek számára. Nem csak a megfertőzött rendszer, hanem a vállalati hálózat biztonsága is veszélybe kerülhet (ha a rendszer csatlakozik egy hálózathoz).

A WORM_SOBIG.F féreg a felhasználó neve alapján megkeresi a domain nevét, és lekérdezi a domainhez kapcsolódó DNS (Domain Name Server) szervereket a MailBox (MB) szerverek címeinek megszerzéséhez. Ez a folyamat felgyorsíthatja a vírus terjedését. E féregnek az általa végrehajtott rosszindulatú tevékenység mellett megfigyelhető másik két érdekes jellemvonása is:

Ez a féreg EXE kiterjesztésű csatolt fájl használatával terjed. Az a tény, hogy az ilyen típusú rosszindulatú kódok az Internet átjárók szintjén egy egyszerű szabállyal kizárhatók, a következő következtetésekhez vezet:

• A sok felhasználó és vállalati hálózat megfertőződése azt mutatja, hogy még vannak vállalatok, amelyek nem elég tájékozottak az alapvető biztonsági szabályokkal kapcsolatban.
• Az is felvetődött, hogy ez a rosszindulatú kód még nincs végleges állapotban, mivel az EXE fájlok egy egyszerű szabállyal kizárhatók - és ezt a legtöbb vírusíró is tudja. Ezt a feltevést a kód nem tömörített volta is megerősíti. A vírusírók gyakran olyan algoritmusok használatával tömörítik a rosszindulatú kódot, mely segítségével átjuthatnak a gyenge vírusvédelmi megoldásokon. Emiatt gondoljuk, hogy ez a rosszindulatú kód tévedésből lett kiadva.
  

2004. január 26-án délután 1 óra 47 perckor (US Pacific Time időzóna szerint) a Trend Micro bejelentette a sárga szintű riasztást a WORM_MIMAIL.R (Mydoom vagy Novarg.A féregként is ismert) vírus megjelenése miatt.

Ez a tömeges levélküldő féreg a tárgyat, szöveget és a csatolt fájlok neveit egy listából választja az általa küldött email üzenetekhez. A féreg oly módon álcázza az üzenet feladójának nevét, hogy úgy tűnjön, mintha különböző felhasználók küldték volna az üzenetet, és nem a fertőzött gépek aktuális használói - ezzel ismét bemutatva az emberi hiszékenység kihasználásának egy bonyolult technikáját. A féreg a Kazaa fájlmegosztó hálózatokon keresztül is terjed.

A WORM_MIMAIL.R féreg túlterheléses (denial of service - DoS) támadást is indított a www.sco.com üzleti szoftverekkel foglalkozó weboldal ellen. Véleményünk szerint ezt a támadást az a tény motiválhatta, hogy az SCO pert indított számos kulcsfontosságú Linux disztribútorral szemben (2003. novemberben).

Január 27-e óta erről a féregről jegyezték fel a legnagyobb számú jelentést az Egyesült Államokban.

A TrendLabs EMEA a gyanús tevékenységeket és hatásokat a hét minden napján, 0-24 óráig figyelemmel kíséri az Európa, Közel-kelet, Afrika régióban, hogy magas színtű védelmet és szolgáltatásokat nyújthasson ügyfeleinek.