A Trend Micro 1200 rosszindulatú kódot azonosított márciusban

forrás Prim Online, 2004. április 6. 17:56
Márciusban a Trend Micro rengeteg, mintegy 1200 új rosszindulatú kódot azonosított (februárban ez a szám 925, januárban 550, 2003. decemberében pedig 400 volt). Az észlelt rosszindulatú kódok három fő típusa a trójai programok, a hátsó ajtók és a férgek. Még mindig a férgek jelentik a legnagyobb fenyegetést - a hónap során a tizes toplistára felkerülő rosszindulatú kódok mintegy 90 %-a férgekhez kapcsolódott.

Márciusban a Trend Micro az eddigi legtöbb, összesen hat sárga riasztást jelentett be - ez a számítógép-férgek gyakoriságát mutatja. Ezek a riasztások a WORM_NETSKY.Q, WORM_BAGLE.U, WORM_NETSKY.P, PE_BAGLE.Q, PE_BAGLE.P és WORM_NETSKY.D férgekhez kapcsolódtak. Kettő e férgek közül a hónap első öt rosszindulatú kódja közé is bekerült!

A fenti férgek mindegyike ugyanazt a módszert használja a terjedésre - e-mailen keresztül célozza meg a számítógépeket. Ez is mutatja az internet átjáró és levelezőszerver szintű vírusvédelmi megoldások bevezetésének fontosságát.

Ezen férgek mindegyike számos jól ismert technikát használ, például a sérülékeny pontok és az emberi hiszékenység kihasználását (a gyanútlan számítógép-felhasználókat félrevezetni próbáló e-mailek küldésével). A cél elérése érdekében ezek a férgek számos trükköt bevetnek.

Számos olyan féreg létezik, amelynek véletlenszerűen generált levelei erősen függenek a felhasználói beavatkozástól. Ez is tipikus példája annak, hogy miért kell a felhasználókat kiképezni az ilyen fenyegetések elhárításához. Ismét nyilvánvalóvá vált, hogy a cégeknek biztonsági irányelveket kell létrehozniuk és bevezetniük, és elővigyázatossági programokat kell indítaniuk alkalmazottaik körében.

A vírusírók azonban felismerték, hogy sok számítógép-felhasználó tudatában van a biztonsági kockázatoknak, ezért számos ebben a hónapban felfedezett rosszindulatú kód használta ki az Internet Explorer sebezhetőségét terjedési esélyének növeléséhez. Ez a sebezhetőség a csatolt fájl automatikus futtatását okozza, amikor a felhasználó megnyitja az e-mailt - vagy akár csak megtekinti a levél előnézetét - tehát a csatolt fájlra kattintás már egyáltalán nem szükséges. Ez egy újabb témához vezet - a biztonsági javítások telepítésének problémájához. Amint egyre több és több vírus használja ki az operációs rendszerek és alkalmazások sebezhető pontjait, a biztonsági javítások telepítése is kulcsfontosságúvá válik.

A futtatás után számos Bagle variáns képes a vírusvédelem és egyéb személyes biztonsági védelem kikapcsolására a helyi számítógép szintjén, így lehetőséget teremt későbbi támadásokhoz, melyek akár a legtöbb Bagle és Netsky családba tartozó variáns által telepített hátsó ajtókon is megtörténhetnek.

A legtöbb Netsky és Bagle variáns képes a P2P (például Kazaa, eMule) hálózatokon és megosztott mappákon keresztül történő terjedésre is. Ismét láthatjuk az emberi hiszékenység technikájának kihasználását - a futtatás után a vírus a P2P megosztott mappákba másolja magát valamilyen vonzó névvel, például: Matrix 3 Revolution English Subtitles.exe, WinAmp 6 New!.exe, Arnold Schwarzenegger.jpg.exe, Harry Potter game.exe, Windows XP crack.exe ...

Átfogó biztonsági megközelítés bevezetése

A hónap során főszerepet játszó férgek azt mutatják, hogy mennyire fontos az átfogó vállalati biztonsági megközelítés bevezetése, túlmutatva az egyszerű vírusvédelmi házirendeken. A vállalati hálózatok védelme megoldható lett volna a hónapban feltűnt rosszindulatú kódokkal szemben a következő intézkedések bevezetésével:

A TrendLabs EMEA a gyanús műveleteket és hatásokat a hét minden napján, 0-24 óráig figyelemmel kíséri az Európa, Közel-kelet, Afrika régióban, hogy magas szintű védelmet és szolgáltatásokat nyújthasson ügyfeleinek.