MyDoom - SCO = 1:0

Geza Papp, 2004. február 2. 10:09
A MyDoom féreg előre bejelentett tegnapi támadása az SCO vállalat lapjai ellen úgy zajlottak, akár egy jól megrendezett show műsor.



A v
állalat honlapjait órákon át nem lehetett elérni, teljesen lebénultak. A támadás olyan elsöprő erejű volt, hogy sem az SCO lapok előtt sem azok mellett nem volt olyan honlat, mely képes lett volna akadályozni, vagy legalább enyhíteni a támadást. Ma, vasárnap egész nap az „ígéret szerint elkezdődött a támadás. Lassan minden Mydoom által megfertőzött gép el kezdett kéréseket küldeni az SCO lapjához. Így a lap össztűzbe került. A támadás az első óráikban a Hálózat csak lassult, még elérhetőek voltak a honlapok. Utána erősödött a támadás, a kérések frekvenciája melyet előre jeleztek a féreg kódjában 1024 csomag/millisecundum. Ezután érezhetően lassult a hálózat, a lapok elérése akadozott. Először a www.sco.com, majd az ftp.sco.com vált elérhetetlenné, ugyanúgy, mint az azonos IP című www.caldera.com és ftp.caldera.com.

Az SCO csoport megerősítette a támadás tényét, illetve a következményekét. Elmondásuk szerint már szombaton érezhető volt néhány szórványos kis erejű DDoS támadás, ami vasárnapra felerősödött. Az SCO konszern első számú Informatikai, Technikai és Infrastruktúra igazgatója Jeff Carlon nyilatkozott.

Remélem, hogy a támadások befejeződnek, de a cégnek úgy kell a védekezési stratégiát kidolgozni, hogy képes legyen egy hasonló erejű DDoS-nak is ellenállni. Hétfőn a munkánk ezzel kezdődik. Nem szeretnénk, ha ismét elérhetetlenné válna a honlapunk, és azt sem hogy ekkora következményes káraink legyenek.

A támadás adatai meghökkentőek: az Angol MessageLabs önmaga csak 14 millió férget tartalmazó fertőzött levelet blokkolt le. A kérések a lapra több tízezer gépről érkeztek egyszerre. A frekvenciájuk maximuma 1024kérés/millisec. volt. Két .htm (SCO, Caldera) vált elérhetetlenné, majd a két cégnek az ftp. szerverei. E mellett kisebb szerverek elérhetősége változott, ingadozott. Az eddig becsült kár 39 milliárd dollár. Ezek érzékeltetik a támadás erejét, az említett iszonyú kérési frekvencia mellett. A Mydoom.A után észlelték variánsát, a B változatot. Ez a Microsoft ellen indított kisebb DDoS támadást, de jelentősen nem lehetett észrevenni igaz, hogy az a támadás február 03-án várható.

Elméletileg az B-változat sokkal nagyobb területet foglal el a hálózatból, több gépet a csatlakozott PC-k közül. A sebessége mindennek nem éri el ez érezhető is az A variánsét. A Mydoom.B a fertőzés után aktiválódik. A fertőzés levelekkel történik, de jelentős szerepe van a megosztott hálózatoknak is. A fertőzés első szakaszában a féreg felderíti, azokat a gépeket, melyeket az A variáns már megfertőzött, hátrahagyva a két nyitott portot, a két hátsó ajtót (backdoor). Ha ilyen gépet talál a backdooron át kapcsolódik hozzá, és fertőzi meg azt, majd az első indításkor aktiválódik, és keresi az újabb gépeket, egyre szélesebb körben A fertőzés után megváltoztatja a gépek hostját, és az IP-jét. Készítve elő a MS elleni támadást.

A vírus szakértők időközben keresték az A verzió szédületes terjedésének az okát. Elméleteik szerint mindez nem a levelekben, hanem az IRC szerverekben rejlik. Nagy valószínűséggel a start úgy kezdődött, hogy az IRC szerver BOT -jai segítségével hallatlan gyorsasággal terjedtek, és fertőzték meg ezer számra a gépeket. Ma ezt tartják a Mydoom fertőzés első fázisának.

A DDoS támadások gyakorlatilag némi hálózati lassuláson túl nem jelentenek veszélyt a személyi számítógépekre. Azoknál sokkal nagyobb veszélyforrás van. Az előző írásaimban említett két portot nyitja ki a féreg, és használja hátsó ajtónak. A gép elhagyása után természetesen nem zárja azt. A felhasználók gépe így tudtukon kívül nyitott lesz a hálózat felé. A szolgáltatók több helyen figyelmeztetik erre felhasználóikat, de mivel a védekezésben a leggyengébb láncszem az ember elfelejthetik azt.

Ezzel veszélyeztetik rendszereiket, tárt karokkal várják a rossz szándékú behatolókat. E mellett egy sokkal komolyabb veszély forrásai lehetnek. A nyitott rendszerek mindig alkalmasak spammek küldésére. 'gy a spammereknek csak a fertőzött gépet kell keresni, hogy elinduljon végeláthatatlan levéláradatuk. Ennek veszélyét kevesen értik meg, mert még nem vesznek észre levelezésükben semmit.

Egy kis számolás engedtessék meg: a Mydoom wormok a hálózat forgalmának, levélforgalmának mintegy 40% -át generálták. Ezt még alig lehetett észrevenni. De a nyitott gépek spam forrásként való felhasználása ennél sokkal nagyobb forgalmat generálhat. Ezért kell a fertőzött rendszert javítani. Ha a forgalom tendenciája nem csökken, akkor elképzelhető igen könnyen, hogy a nagyon közeli jövőben a hasznos információcsere lehetetlen lesz lebénul attól a szeméttől ami a hálózatra kerül.

A Mydoom írójának „értéke is növekedett, ma 500.000$ - ra e,emelték fel azt. Annyi biztos, hogy orosz területről származik, de eddig semmi olyan jelet nem találtak, ami az írója nemzetiségére, kilétére utalna.

Az biztos, hogy a hálózatról a féreg nem tűnik el, nem tűnt el egyik sem. Aktivitását elvileg febr.. 12-én beszünteti, tehát a levél féregtől tartani nem kell. Az a féreg a fertőzött rendszerben kárt nem tett, rutinjában olyan nem volt, ami miatt állományokat törölt volna, működésképtelenné tette volna a rendszert. Nem lehet eleget hangsúlyozni a hátsó ajtók veszélyét, mert ennél ártalmasabb funkciót egy gépnél, mely a hálózatra csatlakozott elképzelni nehéz. A féreg eltávolítható, de ezek zárása közös felelőssége a felhasználónak, és a szolgáltatónak.

Vannak eltávolító programok, (Removal Tool) melyek a gépekről eltávolítják a férgeket. Csaknem minden jelentős vírusirtókat gyártó cég lapjáról letölthetők.

Röviden csak annyit jegyeznék meg: a vírusírók leleményessége nem ismer határokat. Jelen esetben a megszokott kódolás helyett bináris kódokat, ill.. Unicode karaktereket alkalmaztak. Tömörítés .zip volt. Ez megtévesztette a felhasználót, és megnyitotta azt elindítva a fertőzést. A hálózatra csatlakozva felelősséget is jelent, felelősséget is vállalunk: részben magunkért, részben a közösségért. Az ilyen váratlan esemény úgy előzhető meg, ha mindenki megfelelően védi a gépét, rendszerét, követi a vírus jelzéseket. Az nem védelem, hogy van egy vírusirtó, esetleg tűzfal, és spyware. Ha azokat nem ellenőrzik, frissítik csak helyet foglal gépükön, mert funkcióját ellátni nem tudja. Nagyon nehéz lesz eljutni addig, hogy az embert ne a védekezés leggyengébb pontjának tartsák, de közös érdekünk arra törekedni, hogy ellenkezőjét bizonyítsuk.

Special Disinfection Tool

F-Secure has developed a special disinfection tool for this worm.

The tool will detect and remove an active Mydoom infection from the computer.

The Mydoom removal tool can be downloaded in a ZIP file from:

ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.zip

http://www.f-secure.com/tools/f-mydoom.zip

The unpacked version is available from:

ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.exe

http://www.f-secure.com/tools/f-mydoom.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.txt

http://www.f-secure.com/tools/f-mydoom.txt

System administrators who are using F-Secure Policy Manager,

can distribute the tool as a JAR package automatically to all workstations.

System administrators can download the JAR version from:

http://www.f-secure.com/tools/f-mydoom.jar

ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.jar

Manual Disinfection

Manual disinfection of Mydoom consists of the following steps:

1, Delete the registry value and restart the computer:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon]

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]

2, Delete the worm from the Windows System Directory:

%SysDir%\taskmon.exe

and its backdoor component from:

%SysDir%\shimgapi.dll