A Trend Micro ebben a hónapban mintegy 950 új rosszindulatú kódot
(számítógépférget, vírust, trójai és egyéb rosszindulatú programot)
azonosított. Júniusban észlelték az első mobilvírust is. De valóban ezt
a kódot tarthatjuk-e az első mobiltelefonra íródott vírusnak?
Ez kevesebb a májusi eredménynél, azonban az év korábbi részében megfigyelt magas szintű aktivitás még mindig nagy mértékben érezteti hatását. A Netsky féreg variánsai még mindig nyolc helyet foglalnak el az EMEA (Európa, Közel-kelet, Afrika) régió fenyegetéseinek 10-es toplistáján a Trend Micro statisztikák alapján.
A 10 legjelentősebb fenyegetés a Trend Micro adatai alapján
EMEA 2004. június 1-28.
- PE_ZAFI.B
- WORM_NETSKY.P
- HTML_NETSKY.P
- TROJ_DASMIN.B
- WORM_NETSKY.B
- WORM_NETSKY.D
- WORM_NETSKY.X
- WORM_NETSKY.Z
- WORM_NETSKY.C
- WORM_NETSKY.Q
Ebből egyrészt az látszik, hogy még mindig sok olyan számítógép üzemel (különösen az otthoni felhasználók gépei), amelyen nem fut a legfrissebb vírusvédelmi szoftverek valamelyike. Ezek a gépek gyakran DSL kapcsolaton keresztül csatlakoznak az internetre, biztonsági megoldások közbeiktatása nélkül. Másrészt mutatja azt, hogy a hagyományos vírusvédelmi megoldások nem alkalmasak a mai fenyegetések elleni védelemre, valamint hogy még mindig nagyon nagy szükség van a felhasználók oktatására. A fenti fenyegetések egy része leállítható alapvető biztonsági házirendek bevezetésével, például a csatolt fájlok blokkolásával, tűzfalszabályokkal, és a legfrissebb biztonsági javítások folyamatos telepítésével.
A hónap legjelentősebb fenyegetéseA hónap legjelentősebb fenyegetését a PE_ZAFI.B kód jelentette. Ez a rosszindulatú kód a "vegyes fenyegetések" egyik tipikus példája. PE fertőzési képességekkel rendelkező féregként ez a kód e-mailen és a Kazaa, Morpheus, eDonkey és hasonló peer-to-peer (P2P) hálózatokon is terjed.
Ez a féreg memóriarezidens, képes az .exe fájlok felülírására, és azon folyamatok letiltására, amelyek neve a következő szavak valamelyikét tartalmazza:
- regedit
- msconfig
- task
Eltávolítása emiatt még nehezebbé válik. A rosszindulatú kód az emberi hiszékenységet is kihasználja. Az általa kiküldött e-mail látszólag egy baráttól érkezik, mivel olyan gyakori neveket használ, mint például David, Alice, Jennifer. Az e-mail üzenet törzsében és a csatolt fájlban szereplő főbb témák szokásos módon a szexszel és üzlettel kapcsolatosak. A következőkben egy PE_ZAFI.B által készített levél látható:
Feladó: Jennifer
Tárgy: Don`t worry, be happy!
Üzenet szövege:
Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye: Jennifer
Csatolt fájl: www.XXXXXXXX.funny.picture.index.nude.php356.pif
Ez a rosszindulatú kód nem csak angol nyelven terjed. Ez megtévesztheti azokat a felhasználókat, akik tudnak arról, hogy a rosszindulatú kódok általában angol nyelven jelennek meg:
Feladó: Alice
Tárgy: Flashcard fuer Dich!
Üzenet szövege:
Hallo!
Alice hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://XXXXXXXX.viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...
Csatolt fájl: link.XXXXXXXX.viewcard34.php.2672aB.pif
EPOC_CABIR - az első valódi mobiltelefon-vírus?2004. június 15-én azonosították az EPOC_CABIR kódot. De valóban ezt a kódot tarthatjuk-e az első mobiltelefonra íródott vírusnak? Mobiltelefon-vírusok megjelenése már számos esetben felvetődött - mennyiben más ez a mostani? Mennyire jelent komoly fenyegetést az EPOC_CABIR? Amennyiben számottevő, mekkora kárt okozhat?
Napjainkban a mobiltelefonok széleskörű elterjedtségét látva nem meglepő, hogy az embereket foglalkoztatja a mobiltelefon-vírusok kérdése. Mostanáig minden "mobiltelefon-vírusnak" maga az eszköz csupán egyik lehetséges célja volt. Ezzel szemben az EPOC_CABIR ténylegesen a mobil technológia felhasználásával terjed.
VBS_TIMOFONICA - A mobiltelefon a fertőzés célpontjaKiváló példa a VBS_TIMOFONICA. Mint azt a neve is mutatja, a féreg a Microsoft VB Script programnyelven íródott és e-mailekben terjedt. Ezt úgy valósította meg, hogy összegyűjtötte a fertőzött rendszer címjegyzékében található összes e-mail címet, és ezekre küldte el magát. Ami azonban jelen szempontból lényegesebb: ez a VBS kód a belé kódolt SMS átjáró segítségével képes volt SMS-t küldeni véletlenül választott telefonszámokra. Számos telefontulajdonos kapott üzenetet ezen programtól. A VBS_TIMOFONICA jelenlétét csak Spanyolországból jelentették, és féreg a spanyol nyelvet használta. Bár ez a kód képes volt mobiltelefonok megfertőzésére, nem azokon keresztül terjedt. Mint a férgek általában, számítógépek között terjedt, és a vírusvédelmi megoldások felkészülhettek elfogására. A féreg nem jelentett a mobiltelefonokra nézve veszélyt, mivel csak egy SMS-t küldött nekik. Azt azonban világosan megmutatta, hogy a vírusok szerzői már jó ideje a rosszindulatú kódok terjesztésének új lehetőségeként tekintenek a mobiltelefonra.
Az intelligens telefonok a széles körben elterjedt Java nyelvet használják, és mivel a Java akár a mobiltelefon elleni támadás belépési pontjaként is használható, ezek az eszközök elkerülhetetlenül a vírusírók célpontjaivá váltak. Ezt példázza a június 15-én felfedezett EPOC_CABIR megjelenése is. A kód bluetooth technológia használatával terjed, tehát a kiszemelt célpontnak viszonylag kis távolságra kell lennie a fertőzött eszköztől. Az eszközön ezen kívül a kapcsolatok fogadásának engedélyezése is szükséges. Az EPOC_CABIR felhasználói beavatkozást igényel ahhoz, hogy alkalmazásként telepíthesse magát - a felhasználó megerősítését kéri.
Más rosszindulatú kódokhoz hasonlóan számos felhasználó akkor is engedélyezi a telepítést, ha az üzenet láthatóan idegen forrásból származik.
Az EPOC_CABIR műszaki értelemben nem nevezhető vírusnak, mivel nem képes önállóan terjedni, és nem fertőz meg fájlokat. Ettől függetlenül trójai programnak tekinthető, mivel alkalmazásnak álcázza magát.
Jelenthetik-e a mobiltelefon-vírusok a következő nagy fejezetet a vírusok történetében?Jelenleg számos különböző tényező szab gátat a mobiltelefon-vírusok elterjedésének.
Elsősorban jelenleg nincs széles körben elterjedt operációs rendszer (amilyen a PC-k esetében a Microsoft Windows). Számos rendszer van jelen a piacon, többek között a Microsoft Windows Pocket PC rendszere, a Palm Palm OS, illetve a Symbian EPOC. Tömeges fertőzés bekövetkeztéhez nem csak az szükséges, hogy a vírusírók az összes ilyen rendszert jól ismerjék, hanem olyan kódot is kell írniuk, ami minden ilyen platformon fut. Az effajta kód jelentős sávszélességet igényel, feltételezhetően nagyobbat, mint amit a szolgáltatók - különösen az Egyesült Államokban és Európában - nyújtanak, ami megintcsak korlátozza a terjedés lehetőségeit. Ez azonban korántsem jelenti azt, hogy a vírusok a jövőben nem fognak fenyegetést jelenteni a mobil eszközökre nézve.
Az EPOC_CABIR azonban kétségkívül világossá teszi, hogy minden új technológiának az előnyök mellett hátrányai is vannak. A féreg jól illusztrálja, hogy még ha a rosszindulatú kód nem is jelent valódi veszélyt (hiszen nem képes a felhasználó rendszerében kárt okozni), a vírusírók mindig keresik "alkotásaik" terjesztésének újabb és újabb módszereit.