MyDoom -a legelterjedtebb, de nem a legpusztítóbb

forrás Prim Online, 2004. február 9. 13:03
A MyDoom-ot elsőként elfogó MessageLabs bejelentette, hogy a legújabb féregből immár több példányt fogott el, mint a tavaly óta még mindig komoly fenyegetést jelentő Sobig.F-ből.
A MessageLabs a féreg első példányát Oroszországban fogta el, január 26-án 13 óra 3 perckor, melyet azóta több, mint 37 millió másik követett. Ezzel a hétvégén beérte, sőt megelőzte a korábbi listavezető Sobig.F-et, melyből még januárban is közel 300.000 példány próbálta megfertőzni a MessageLabs ügyfeleit. A fertőzés csúcsán minden 12 e-mailből egy a MyDoom férget tartalmazta, de a hamis címekre, illetve címekről küldött férgek miatt ekkor minden második e-mail a járványnak volt "köszönhető". Figyelembe véve, hogy a fennmaradó 50% több, mint fele SPAMet tartalmazott, látható, hogy az e-maileket kezelő szerverekre mekkora terhelés hárult, sok helyen megbénítva az e-mail rendszereket.

A világszinten tapasztalható lassulást a kihelyezett szűrésnek köszönhetően a MessageLabs ügyfelei nem tapasztalták, hiszen sem a féreg, sem a "visszapattanó" hibás e-mailek nem terhelték az ügyfelek rendszereit, továbbá a MyDoomot (továbbá többek között a Sobig.F-et, a Mimailt és az IloveYou-t) elsőként megállító, prediktív heurisztikus szűrésnek köszönhetően a MessageLabs ügyfelei közül a féreggel senki nem fertőződött meg - olvasható a cég közleményében.

Nemes Dániel, a MessageLabs-et hazánkban képviselő filter:max stratégiai igazgatója elmondta, a féreg okozhatott volna jóval nagyobb pusztítást is: mindenki emlékszik még az utoljára megnyitott dokumentumokat szerteküldő, vagy az adatokat törlő férgekre és vírusokra, de a MyDoom ilyen funkciót szerencsére nem tartalmazott. Ugyanakkor számtalan áldozatul esett cég fertőzött tovább más felhasználókat, mivel a kimenő e-mailek szűrése igen kevés helyen van megoldva.

A filter:max ügyvezetője, Böröcz Gergely beszámolt arról, hogy a féreg terjedésének első 24 órájában világszinten magyar számítógépekről érkezett a fertőzések 1,2%-a, ami nemzetközi összehasonlításban igen magas szám. Ugyanakkor mára ez az érték 0,2%-ra csökkent, ami a magyar rendszergazdák átlagnál gyorsabb és alaposabb reakcióját mutatja, ugyanakkor rávilágít a hagyományos vírusvédelmi rendszerek gyengeségeire is. "Hazánkból több, mint 10.000 IP-címet regisztráltunk, amely a férget terjesztette. Figyelembe véve, hogy a cégek többnyire egyetlen IP-címről küldik e-mailjeiket, kijelenthető, hogy itthon is sok tízezres, de elképzelhető, hogy százezres nagyságrendű volt a fertőzött PC-k száma" - mondta Böröcz. "Bár a MyDoom komolyabb pusztítást nem végzett, látható, hogy a helyreállítás költsége is hatalmas - érdemes tehát a fertőzéseket megelőzni, semmint utólag kezelni" - tette hozzá.