Prim Hírek

Az időzítéstől eltekintve a két új Bagle variáns által október 29-én okozott támadások nem okoztak meglepetést.

A két féreg megjelenése a támadások szempontjából ideális időben történt: egy hosszú hétvége előtti pénteki napon. A legtöbb országban az irodák zárni készültek, a rendszergazdák pedig éppen hazaindultak vagy már el is hagyták munkahelyüket - szinte senki sem gondolt a védekezésre.

A kifogástalan időzítésnek köszönhetően a féreg sikeres lehetett volna, ha nem ilyen szükségtelen és haszontalan tevékenységre fordítja erőforrásait.

A Netsky megtartja vezető helyét a gyakorisági térképeken

A Trend Micro WTC (World Tracking Center) által kiadott, 2004 novemberének tíz leggyakoribb rosszindulatú kódját tartalmazó listát két szóban lehet összefoglalni: Netsky-uralom.

A különböző Netsky variánsok a lista hat helyét foglalják el, beleértve a felső három helyet is. A sort a Netsky.P vezeti (ez az eddigi leggyakoribb Netsky variáns). A féreg összesen 885 159 fertőzést mondhat magáénak. A júliusban, augusztusban és szeptemberben listavezető Sasser féreg teljesen kiszorult a tízes listából.

Eltérően társától (és fő riválisától), a Bagle-től, a Netsky féreg nem jeleskedett a támadásokban, és a WORM_NETSKY.AB óta (amit április 28-án fedeztek fel) nem hozott létre új variánsokat. Az utóbbi hét hónapban a vírustámadások megszűnése állítólagos alkotójának 2004. május 8-án történő elfogásához köthető.

A Bagle többszintű támadást kísérel meg

Emlékezetes a Bagle nagy belépője 2004. januárjában az első ismert variánssal, a WORM_BAGLE.A-val. Azóta legalább 13 variáns született, amelyek közepes kockázati szintű vírustámadást okoztak - ebből hét az utóbbi öt hónapban történt.

A harmadik negyedévben közzétett variánsok más terjedési sémát használtak: a szokásos tömeges levélküldés helyett egy .ZIP fájlba csomagolt trójai letöltő alkalmazást és egy HTML parancsfájlt használtak a postaládák megcélzására.

Említésre méltó, hogy a Bagle legújabb variánsai (a BAGLE.AT és a BAGLE.AU) kikerülték az indirekt terjedési módszert, és a régi módszer szerint közvetlenül továbbították magukat a postaládákba.

A Bagle arra irányuló próbálkozása, hogy több variáns kiadásával egy többszintű támadást vigyen véghez, azt mutatja, hogy több támadási módszer kipróbálásával igyekszik tömeges fertőzést elérni, elkerülni az észlelést, és megnövelni saját élettartamát. Ebből arra is következtethetünk, hogy nem utoljára láttuk ezt a kitartó tömeges levelezőt.

A Sober visszatér

A tömeges levelező Sober féreg visszatérése meglepő fordulatot hozott a hónap támadási térképén. Öthavi hallgatás után 2004. november 19-én megjelent a Sober kilencedik variánsa (ez a legtöbb országban szintén pénteki napra esett).

Ez az új variáns ugyanazt a funkcionalitást és azokat az alapvető eljárásokat tartalmazza, mint a korábbi Sober változatok. Ugyanakkor gyakorlatilag semmi újdonságot nem jelentett az új variáns, így a visszatérés erőtlen volt, és kudarcba fulladt. Akár egyszeri alkalomról, akár egy közelgő újabb visszatérésről van szó, a következő hónapokban számíthatunk a Sober újjáéledésére.

Továbbra is a botok és trójaiak teszik ki a rosszindulatú kódok többségét

A trójai programok felelősek a novemberi észlelések nagy részéért, azok 42%-át adják. Az ilyen kódok a hátsó ajtókkal együtt a novemberi észlelések 50%-át teszik ki. Bár ez a trend vált megszokottá az elmúlt hónapokban, a következő negyedévben kis változások várhatók.

A TrendLabs az 1564 novemberi észlelés során 913 új rosszindulatú kódot talált. Ez a szám a valós idejű minták bejelentésén és a helyzetkezelésen alapul. Az újonnan felfedezett rosszindulatú kódok között az első helyen a férgek végeztek jelentős, 47%-os részaránnyal, vagyis a rosszindulatú kódok körülbelül felét adják. A trójai alkalmazások és a hátsó ajtók együtt kicsivel több, mint egyharmadát teszik ki az összesítésnek. Ezek a számok a bot férgek megjelenését és gyors terjedésüket figyelembe véve nem meglepők.

Aznapi, "zero-day" fenyegetések és vezeték nélküli veszélyek: új rosszindulatú kódok

A kezdetben egy újabb MYDOOM változatnak hitt BOFRA féreg első variánsa 2004. november 8-án jelent meg. E kód esetében fennállt a veszélye egy aznapi támadásnak, mivel terjedésében az Internet Explorer egy még javítatlan IFRAME biztonsági rését használta ki. A BOFRA e-mailben érkezik. A levélmellékletként közvetlenül történő továbbküldés - a szokásos gyakorlat - helyett azonban egy beágyazott HTML parancsfájlt küld, ami URL hivatkozásokat tartalmaz bizonyos weboldalakra. Ezek az oldalak az Internet Explorer nem frissített változataira veszélyes IFRAME biztonsági réseket használják ki.

2004 novemberében egy, a vezeték nélküli világot fenyegető újabb rosszindulatú kód is megjelent. A 2004. november 11-én felfedezett TROJ_DELF.HA a fertőzött gépeket használja arra, hogy mobiltelefonokra SMS formájában kéretlen üzeneteket küldjön.

Az első Bluetooth-ot használó készülékeket veszélyeztető, Symbian Series 60 mobiltelefonokon futó Cabir 2004. júniusi megjelenésével a rosszindulatú kódok a mobiltelefonok világába is betörtek.