A novemberi vírusokra tekintve azt mondhatjuk,
hogy ez a "Variánsok hónapja" volt.
A Trend Micro által a hónap során a tízes toplistába sorolt rosszindulatú kódok
72%-a új variáns volt. Ezek közül 28% féreg jellegű, 22% trójai jellegű, 22%
hátsó ajtót készítő, a további 28% pedig Java szkript, Word, Excel, Visual
szkript, PE stb. program.
Ha jobban megnézzük a statisztikákat, láthatjuk,
hogy a WORM_AGOBOT vírusnak 16, az BKDR_SDBOT vírusnak 13, a WORM_MIMAIL vírusnak pedig 12 új
variánsát találták meg.
A WORM_SWEN.A
továbbra is tartja első helyét a vírusok toplistáján. Szeptember 18. óta a
világon 290 869 számítógépet fertőzött meg.
A WORM_SWEN.A továbbra is a hálózati felhasználók sérülékenységére
irányítja a figyelmet. Az emberi természet jellemzőinek kihasználásával a vírus
írói félrevezetik a felhasználót, aki azt hiszi, hogy az e-mail a Microsofttól
érkezett. Nemcsak a küldő e-mail címét álcázza, a teljes levél úgy néz ki,
mintha a Microsofttól érkezett volna (a Microsoft arculat grafikai elemeit
használja fel). Ez is mutatja, hogy a felhasználókat is figyelembe kell venni a
vállalati biztonsági házirend kialakításakor - és hogy mennyire fontos a
vírusriadókkal kapcsolatos információk megosztása a felhasználókkal.
A WORM_KLEZ.H már 19 hónapja szerepel a tíz legveszélyesebb vírus
között. Ez a retrovírus (anti-antivírus, mely kikapcsolja a vírusvédelmi
megoldásokat) a retrovírusok (a vírusvédelmi megoldást kikapcsoló vírusok)
veszélyességét emeli ki. A féreg továbbra is fertőzi a számítógéprendszereket,
bár a vírusvédelmi cégek már kiadták az ellenszert.
A WORM_SDBOT egyszerre féreg és hátsó ajtó. Ez a rosszindulatú kód
törvényes segédprogramok használatával jut be a gyenge jelszóvédelmet használói
távoli rendszerekbe. Emiatt a Trend Micro felhívja a rendszergazdák figyelmét,
hogy kényszerítsék rá felhasználóikat az erős jelszavak használatára a hálózat
minden pontján, és nem ajánlja, hogy rendszergazda jogokat biztosítsanak a
felhasználóknak saját gépeiken.
Az új WORM_MIMAIL variáns az eredetihez
hasonlóan terjed (e-mailen keresztül, saját SMTP magjával), de módosítja a
levél tartalmát és a csatolt fájl nevét a felhasználó megtévesztése érdekében.
A legújabb WORM_AGOBOT variánsok retrovírus
technikákat használnak, és a korábbi AGOBOT variánsokhoz hasonlóan ez a féreg
is a Windows néhány sérülékeny pontját használja ki a hálózaton belüli
terjedéshez:
o Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) biztonsági rés
o IIS5/WEBDAV puffertúlcsordulás biztonsági rés
o RPC Locator biztonsági rés
Egy kód ismét a rendszer sérülékenységét használja ki a számítógép megfertőzéséhez - ismét kiemelve, hogy még mindig vannak frissítetlen gépek.
A Trend Micro figyelmezteti a számítógép-felhasználókat, hogy óvatosan kezeljék az "üdvözlőkártyákat", melyek gyakran rosszindulatú kódot rejtenek - és az évnek ebben az időszakában különösen elterjedtek.