Újabb Bagle-variánsok

Geza Papp, 2004. március 20. 07:00
Új generációs, arhitectúrájában, terjedésében az eddigiektől teljesen eltérő Bagle-variánsok jelentek meg a napokban és tegnap a neten. Mindegyik vírus az öt hónapja ismert MS Outlook ki nem javított kritikus sebezhetőségét használja ki a fertőzésre.
Hihetetlen az a felelőtlenség, amit a hálózat egyes "állampolgárai" tanúsítanak. Új generációs, arhitectúrájában, terjedésében az eddigiektől teljesen eltérő Bagle-variánsok jelentek meg a napokban és tegnap a neten: W32/Bagle-R, W32/Bagle-Q és a tegnap délután észlelt és analizált W32/Bagle-HTML (HTML_BAGLE.Q1). Mindegyik vírus az öt hónapja ismert MS. Outlook ki nem javított kritikus sebezhetőségét használja ki a fertőzésre.

Sokan nem érzik , hogy abban a pillanatban, amikor a hálózatra csatlakoznak, nem egy "dugót" dugtak a gépükbe, hanem felvállalták annak ódiumát, hogy elégtelen biztonsági ténykedésükön nem csak a saját, hanem mások - sőt az egész rendszer - biztonsága múlhat rajtuk. Azzal, hogy feltelepítenek egy víruskeresőt, esetleg egy tűzfalat, semmit nem tesznek, ha nem frissítik rendszeresen azokat. Ugyanígy hatalmas veszélyforrás lehet a gépük, ha a rendszerük frissítését mulasztják el - érintetlenül hagyva a réseket, kritikus hibákat, melyek fertőzési, támadási felületként szolgálnak. Ha gépük megfertőződik, a fertőzés már könnyedén terjed tovább felelőtlenségük miatt.

Hosszan gondolkodtam, hogy mit lehetne tenni akkor, amikor a hálózaton lévő vírusok száma drasztikusan nő - és a félreértés elkerülése miatt, lehet, hogy az új "jövevény" nagy fertőzési hulláma leáll, de a kórokozó, mint MINDEGYIK, valamilyen formában FENT MARAD a hálózaton - onnan NEM TŰNIK EL, legfeljebb inaktívvá válik.

Ha lenne egy kellő jogosultságokkal és biztosítékokkal felruházott szervezet, mely felvállalná az ilyen, másra veszélyes gépek szűrését (pl.: CERT), melynek jogosultságai kiterjednének minden szolgáltatóra nézve kötelező szankciók alkalmazására, egy idő után sokat változna a helyzet...

Én az olyan felhasználókat, akik bizonyított figyelmetlenségük miatt veszélyeztetnek másokat - ennek mértékétől függően - határozott vagy határozatlan időre, esetleg véglegesen eltiltanám a hálózat használatától. (A vitát megelőzendő, tettük oly mértékű veszélyeztetés, ami a netállampolgárokra nézve bűn. Ez esetben - mint más bűncselekmény esetén - a közösség védelme az elsődleges, és nem a már-már "elcsépelt" szabadságjogok.)

A Sophos Antivirus e jelenséggel kapcsolatos 2004. március 18-i, majd a 15-i véleményével ismertetem meg Önöket:

A Bagle "új típusú" generációja terjedésében, képességeiben "farkasétvágyú" fenyegetést jelent... (Sophos)

A Sophos több lapon megjelent hivatalos közleményeiben, a munkatársak nyilatkozataiban mindenki figyelmét felhívja arra a veszélyre, melyet a Bagle "saga" két (most már három) új variánsa jelent. A két új változat, W32/Bagle-Q és W32/Bagle-R, a fertőzésre az eddigiektől teljesen eltérő módszert használ - azonnal megkísérli leállítani a biztonsági rendszereket, ezzel együtt az e-mailek "átjáró portjának" vírusvédelmét.

Eltérően a "megszokott" e-mail kórokozóktól, az új generáció nem levélmellékletben terjed, a víruskeresőknek felismerniük szinte lehetetlen.

A fertőzött üzenetek tárgya a legtöbb esetben az alábbi lista egyike - véletlenszerűen választva:

Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
Re: Incoming Fax
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Request response
Site changes
Re: Hi
Encrypted document

Ha egy felhasználó megnyitja az üzenetet és Microsoft Outlook verziójára nem telepített hibajavító "foltot" - egy öt hónapja ismert kritikus hiba javítására -, emiatt a felelőtlen hibája miatt a rosszindulatú kód az Outlook meglévő sebezhetősége révén azonnal és automatikusan letölthetővé válik, mely letöltés meg is történik.

Ha alkalmazná a hibajavító foltokat, nem fertőződne a rendszere, biztonsági alkalmazásait nem állítaná le a féreg, és elkerülné azt a veszélyt, hogy a résen keresztül "blackhat" hackerek vegyék át a rendszere irányítását. A ki nem javított hiba miatt megfertőződött gép potenciális veszély: a hiba (sebezhető rés) kihasználásával a levelek mellett a féreg mindenképpen megkísérli, hogy fájlmegosztó rendszereken, esetleg megosztott merevlemezek között terjedjen, és a futtatható kódjaival megfertőzze a többi gépet..

"Minden komputerfelhasználónak sokkal körültekintőbbnek kellene lennie. A cégünk sok jelzést kapott az új vírusokról a világ minden részéből, kiemelve Koreát, ahol megvan a kellő hozzáértés és technika, melyet a cyberalvilág vírusírásra is használhat" - mondta Graham Cluley (senior technology consultant, Sophos). "Kihasználnak egy biztonság rést a népszerű Microsoft Outlook levelezőn, ami emiatt egy fertőzés kapujaként tekintendő. Ezért szükséges (szerintem kötelező - P. G.) mind az otthoni és rendszerbe kapcsolt (vállalati pl.) számítógép-felhasználóknak, adminisztrátoroknak a hibára kiadott foltot telepíteni."

A fertőzések elkerülése miatt javasolják a biztonsági rendszerek frissítését, esetleg cseréjét - nagy géppark esetén a hardveres védelmet - a tűzfal elé (egy kiszolgáló szerver közvetlenül csatlakozik a hálózatra, megszűrve a gyanús állományokat). Ebben az esetben a rendszer gépei közvetlenül nem kapcsolódnak, csak a szerverhez.

"A Bagle verziói olyan sokrétűek, annyi meglepetést okoznak, hogy a védelem csak 'holistic security' lehet. (alapja: azonnali biztonsági frissítés, legalább óránkénti adatfrissítés (lehetőség szerint inkrementális), gyors keresőmotor, magas szintű heurisztikájú on-access és on-demand védelem, kiemelt levélvédelem, jó tűzfal: zárt vagy láthatatlan portok).

"Ha már a megjelenéskor, a felelősségük tudatában telepítenék a felhasználók a javítófoltokat, a féreg bejutásának, fertőzésének esélye minimálisra csökkenhetne" - folytatta Cluley.

Hibajavító a Microsoft Outlook kritikus biztonsági sebezhetőségére, amit a Cumulative Patch for Internet Explorer (828750) [Originally posted: October 3, 2003 Revised: October 6, 2003] tartalmaz:
Megtalálható: www.microsoft.com/technet/security/bulletin/MS03-040.mspx

Az otthoni felhasználók alkalmazzák az automatikus frissítést http://www.windowsupdate.microsoft.com/!

Összefoglalva: a Sophos röviden az alábbi, a W32 /Bagle-Q, W32/Bagle-R és a W32/Bagle-HTML férgek elleni védekezés alapjaként azt javasolja:

Javítani - ha nem javították - az MS Explorer/Outlook Express hibáit, ami megakadályozza a vírus az automatikus letöltését.

Ne engedélyezzenek semmiféle kapcsolatot, zárják le tűzfalukkal a TCP 81 porton. Ez megakadályozza, hogy az esetlegesen bejutott vírus kapcsolatot vegyen fel más rendszerrel - ezzel együtt a futtatható ártalmas kódok letöltését (a féreg nem keres - még - más portot a letöltéshez).

2004. március 15.

A Bagle féreg észrevétlenségét grafikus jelszavak biztosítják?

A Sophos antivírus-szakértők tanácsolják a Bagle új verzióinak változása miatt (W32/Bagle-N és W32/Bagle-O), melyek egy "sneaky" segítségével "csapják be" a védelmi rendszert, hogy a levelezőik kommunikációs portjait fokozottan védjék.

A féreg nem a csatolt fájlban van - de az e-mail tartalmaz jelszóval védett (.Zip vagy .RAR) állományokat. A korábbi verziók esetében a függelék a férget tartalmazta, a levélszöveg pedig a .txt formátumú jelszót. Az antivíruscégek erre gyorsan reagáltak, és a programok a levéltestből megkeresték a jelszót, megnyitották az állományt és semlegesítették a férget. Ezért a féreg szerzője a jelszót egy a keresők által még fel nem ismert grafikába applikálta - (grafikának minősül egy htm levél kiszínezett, díszített része is).

A mellékletben egy Visual Basic Script (q) Q.vbs állomány van, ami a 81-es porton át összeköttetést keres egy weblappal, ahonnan a férget letöltheti direct.exe vagy directs.exe néven.

Érdekes módon a féreg a szerzője elrejtett egy ASCII szöveget egy pillangó alakú képben:

The White Rabbit Presents
The first and the single
Anti-NetSky AntiVirus

Azt hiszem, ehhez nincs hozzáfűznivalóm, nem is lehet, csak az, hogy a "háború" aktív közreműködésünkkel folytatódik - a vírusok leírását, a védekezést a következő részben olvashatják.

(A képek illusztrációk, csak hasonlítanak az eredetire - P. G.)