Számítógépes vírus, mint reklám

Geza Papp, 2004. augusztus 24. 14:04
Nem tudom, ez egy folyamat kezdete, vagy csak most került egy „régi bevált módszer” napvilágra, nyilvánosságra? - számítógépes vírus, mint reklám.
Troj/Mosqit-A - az első mobiltelefon trójai károkozó

Ezen a nyáron a „szúnyogok másképp csípnek” - nem a csípés viszket, hanem a pénztárcánk ürül ki, ha találkozunk egy ilyen szúnyoggal: az első Symbian Series 60 elsősorban Nokia mobiltelefonok által használt operációs rendszert támadó Troj/Mosqit-A - val.

A Cabir mobiltelefon vírus után ez az első károkozó, amely nem „proof of concept” azaz „próba”, hanem ténylegesen károkat okoz. A trójait egy nemzetközi fórumon „öszvér mobiltelefon kórokozónak” neveztem, mert terjedéséhez fizikai internetkapcsolat kell. Azért, mert csak „közvetlen” fizikai kapcsolattal weboldalakról, és P2P warez hálózatokról terjed a mobiltelefonra, nem használja kapcsolat nélküli terjedést, pl.: a Bluetooth technológiát, mint elődje.

Először 2004. augusztus 6-án számolt be minderről az InformIT lap, az Airscanner Corporation analízisét közölve. A károkozó a nevét onnan kapta, hogy a maroktelefon-játékokat kedvelők által jól ismert Mosquito nevű játék feltört, crackelt változatával terjed az említett csatornákon.

A károkozó .sis fájlként jut a telefon rendszerébe, és amikor játszanak vele, akkor emelt díjas SMS szolgáltatásokra küld leveleket. Angliában a 87140 - es telefonszámra, ahova egy SMS küldése 1,5 Angol Font.

A kalózprogramra jellemző .sis fájlokat, a Windows Commander ingyenes SisView plug-in segítségével lehet megnézni, míg a .sis fájlok „kibontásában” a szintén ingyenes UnMakeSIS program segít.

A fertőzést a felhasználó, ha nincs szerencséje csak a magas telefonszámla fizetésekor tudja meg, szerencsésebb esetben felfigyel a telefonképernyőn megjelenő üzenetre, mely a troján testben található, txt formátumú „levél”:



(Az üzenet megérzésem szerint olyan, mint ha a játék gyártója, vagy egy jogvédő szervezet írta volna)

A trójai fertőző állománya 140KB nagyságú, "Mosquitos Cracked by Soddom.sis" vagy "Mosquitos Cracked by Soddom V2.0.sis" nevet viseli. Amikor feltelepül a rendszerre a trójai neve Mosquitos.app, nagysága 261.6 KB. (megjegyzendő, hogy az internet csatornáin más néven is előfordulhat).














Mosquito játéklogo










Részlet a játékból



















Üzenet a telefonon


A trójai megírásának két lehetséges motívumát sejtik: az egyik „bosszú, rosszakarat, károkozás” lehet, míg a másik egyszerűen a haszonszerzés.

Attól függetlenül, hogy terjedéséhez az internetre, a fizikai kapcsolatra még szükség van - sajnos a közeli jövőben számíthatunk arra, hogy a Bluetooth technológiát felhasználó valódi károkozók is megjelenhetnek. Eugene Kaspersky jóslata minderről sajnos beteljesedni látszik - egy kis kiegészítéssel: „az internetes asztali személyi számítógépekre veszélyes károkozók „egyedfejlődését” a „mobilkárokozók” megismétlik.”

Addig is óvakodni kell minden programtól, amit a felhasználó a gépére feltölt, mert esetleg a nagy örömmel megszerzett ingyenes alkalmazása „később csípi meg” - jelen esetben a hatalmas számlával, más esetben akár a rendszere összeomlásával.













Üzenet a vírusból







E-mail















UnMakeSIS használatával látszik a Mosquitos.app file


Augusztus 12-én az F-Secure cég (amelyik Mquito trójainak nevezte el) bejelentette, hogy tulajdonképpen nem egy számítógépes károkozóval, hanem a játékba gyárilag beépített alkalmazással állunk szemben.

A meglepő hírt a cég a következőképpen magyarázta: az „alkalmazást” a játék gyártója azért helyezte az új játékszériába, mert azt szerette volna, ha szerzői jogainak megsértésekor, a játék feltörésekor (crackelésekor), vagy illegális másolásakor a beépített „trójai” alkalmazás egy SMS-ben értesítette volna őket.

Ez a „játék részét képző” „trójai” másolásvédő alkalmazás azonban nem működött tökéletesen, az SMS küldés „visszafelé sült el”. Ezért az ezt következő sorozatból e funkciót kihagyták. A hálózaton még fellelhető játékok, melyekben ez a funkció megvan az SMS-t „megszüntetett fantom számokra” küldi, a gyár szerint több plusz költséggel nem terheli a használóját.
http://www.f-secure.com/weblog/
http://www.f-secure.com/v-descs/mquito.shtml

Olyan cikket, nyilatkozatot, ami az emelt díjú SMS-t fogadó telefonszámok tulajdonosairól tájékoztatott volna, vagy arról, hogy kié lett az így „megnyert pénz” nem találtam, de olyan utalás sem volt fellelhető, mely nyíltan leírta volna, hogy ez a „másolásvédő alkalmazás” nem trójai program. Az F-Secure ma is Mqitonak nevezi, és rendszertanilag a „Trójai” típusba sorolja.

Kissé durván fogalmazva tehát azok a biztonsági cégek, akik mint trójai károkozóról számoltak be nem értenek munkájukhoz? Vagy mégis értenek, tényleg trójai károkozóról van szó, de „A felfedezett funkció ugyanis az eredeti játék része!”. Ez akkor azt jelentené, hogy a gyártó cég a játék másolásvédelme érdekében egy trójai faló, egy Trojan alkalmazást írt a játékba? Olyan „alkalmazást”, ami emelt díjas SMS-eket küldött különböző telefonszámokra - és nem egyet.

Azt sem értem, hogy számtalan emelt díjas SMS elküldése - nem a játékot gyártó cég telefonszámaira (bár a mai világban ki tudja), hogy tájékoztatta a céget arról, hogy másolt programmal játszanak. Esetleg mégis a gyártó eddig titkolt telefonszámaira érkezett számtalan emelt díjas SMS, mert az egyébként is drága játékok közül a Mosquitot úgy érezték, hogy olcsón adták, és így pótolták az árkülönbözetet?

Nem tudom, ez egy folyamat kezdete, vagy csak most került egy „régi bevált módszer” napvilágra, nyilvánosságra? Ha ez a módszer a szerzői jogvédelem, a másolásvédelem etikai szintje - ha van egyáltalán ilyen - , akkor sajnos inkább azt fogadom el, hogy a károkozókat hasonló, vagy más céllal a termékükbe építve különböző cégek már használják.

Ezek után egy kérdés fogalmazódik meg bennem: ha mindezt - a károkozó írást, terjesztést, a trójaival elkövetett SMS csalást egy „magánember” teszi mit tartalmaz a vádindítvány, milyen büntetést kér az ügyész? (mert ugye, amit nagy cégeknek szabad, az másnak tilos, és büntetendő... nem ezt hívják diszkriminációnak véletlenül?)

Feltehetően azoknak a kára, akik e miatt a „funkció” miatt, ami „ugyanis az eredeti játék része!” soha nem térül meg, sőt jobb, ha titokban tartják, mert nem jogtiszta alkalmazás használatáért, birtoklásáért megbüntetik őket. Csupán jó tanácsként: a pénzüket „kicsaló” alkalmazással felszerelt játékok helyett inkább a „félkarú rablóval” játszanak, mert ott legalább minimális esélyük van a nyereségre.

Néhány hivatkozás - a jól definiált trójai károkozót „rosszul felismert” cégektől:

http://www.sophos.com/virusinfo/analyses/trojmosqita.html

http://www.sophos.com/virusinfo/articles/mosqit.html

http://www.informit.com/articles/article.asp?p=327994&seqNum=1

http://www.viruslist.com/eng/viruslist.html?id=2019351

Képek az analízisről:



















Mosquitos Cracked by Soddom.sis




















Hex dump - Mosquitos.app file

























IDA Pro Disassembler használatával az SMS hívás routin










SMS hívás céltelefonszám (87140) kódja

A gyerekeinket sok mindentől tiltjuk, sok mindenre mondjuk: ez nem játék. Azt hiszem, nem mondok semmi újat azzal, ha ezen intelmek élén a fegyverek állnak. Nem titkolt véleményem, miszerint: ” a számítógépes vírusok korunk legveszélyesebb stratégiai fegyverei”. Ezt elfogadva tehát az intelem azokra is vonatkozik.

Ha egy tizenéves gyerek „véletlenül ír egy víruskódot” amit „véletlenül” a hálózatra enged - nem véletlenül megbüntetik érte, börtönbüntetést is kaphat a kártérítés mellett. De mi történik azokkal a cégekkel, akik termékeik reklámozása, vagy védelme (lásd Mosqit Trojan) érdekében a termékbe írják a víruskódjukat?

Azt, a kódot, amit észlelnek, majd analizálnak biztonsági cégek - időt, és energiát nem kímélve, mely kódot megkapva „idegbajt kapnak” a felhasználók, hogy a rendszerük fertőzött. Azt a kódot, mely a számítógépes - jelen esetben a mobiltelefonokban kárt okozó - malwarek minden tulajdonságát hordozzák. Terjednek, fertőznek, szaporodnak stb. Azt a kódot - melyet könnyedén megszerezve „kisded játékukból” könnyedén veszélyes károkozót csinálhat a hozzáértő.

Mindez tehát a reklám, a profit érdekében büntetlenül megtehető. Az egészet büntetés helyett e cégek elintézik egy „humoros nyilatkozattal”. Nekik humoros, de kérdezzék meg azokat, akik először megkapták, vagy azokat, akik minden energiájukat analízisük gyorsaságába fektették. Azt hiszem ez már túllép a humor határán, de ennek ellenére büntetlen marad.

Ezek szerint két részre lehet osztani a felhasználókat (mert ez esetben egy cég is felhasználó) - van, akinek mindent szabad, „játékos vírusán” nevetni kell, és van akit azért is megbüntetnek, ha nem „jogtiszta program kerül a gépére”. A kérdésem az, ki húzza azt a bizonyos vonalat. Ki rajzolja meg azt, ami elválasztja a jogvesztetteket a visszaélőktől, a „jogzsönglőröktől”?

Szeretném látni, olvasni az első szankciókat - vagy esetleg a szankcionáló is a visszaélő jogzsönglőrök közé tartozik? Ha igen, hiába várjuk a híreket, nem lesznek. Vagyis lesznek „játékvírusokról”, és „humoros magyarázatokról” - szankciókról nem.

Minderről a Kaspesky Lab”s az alábbi nyilatkozatot adta ki:

A mobiltelefonokra írt vírusokról már több korábbi hír szólt. Az utóbbi időben megjelentek ilyen üzenetek:






A T-vírus (tipikus "hoax" vírus) 1. üzenet






A T-vírus (tipikus "hoax" vírus) 2. üzenet

A CE Europe egy japán cég, leányvállalata megálmodta a legutolsó PlayStation2 videojátékuknak (amelynek a címe: Resident Evil Outbreak) „átgondolatlan, agyament” reklámját: a kampány része egy olyan WEBhely üzemeltetése, ahonnan a játékosoknak kéretlen SMS üzeneteket küldtek. A kiküldött üzenet arra szólítja fel a címzettet, hogy a telefonja fertőzött, és további információért keresse fel a cég WEBlapját.
















Resident evil

A felhasználók akik továbbküldték az SMS-t vagy nagy forgalmat csináltak, további jutalompontokat kaptak. Többi pont további esélyt jelent megnyerni a limitált példányban kibocsátott Resident Evilt.

A CE Europe a sajtó számára kiadott közleményben kifejtette, hogy a víruskampány az egy új marketing hadoszlop előretörésében játszik szerepet. A cég előnyt próbál ezzel kovácsolni a propagandából magának - nem gondolva át annak következményeit. Számos antivírus cég a mobiltelefon-felhasználóktól megkapta ezt az üzenetet. Ez pontosan olyan mint megannyi vírus-rémhír. A T-vírus, (tipikus „hoax” vírus) ami egyébként nem csak SMS-ben, hanem az interneten és e-mailben is "terjed - szaporodik" - rengeteg időt és a szakemberek energiáját fogyasztja.

A Sophos cég híréből, Graham Cluley a Sophos vezető vírusszakértője, és Ben Le Rougetel, a CE Europe PR-menedzsere és vezető vírusszakértője véleményét érdemes idézni:

Graham Culey, elmondta, hogy önmaguk a szöveges üzenetek nem fertőznek, ám sokan ennek ellenére pánikba estek, mert - joggal - azt hitték, hogy egy valódi vírussal fertőződött meg a mobiltelefonjuk. A vírusvédelmi cégek minderről már számos visszajelzést kaptak. Culey úgy vélte, akkor, amikor a mobiltelefon-vírusok reális veszélyt jelentetnek ez a reklám "kifejezetten meggondolatlan, sőt beteges" volt.

Ben Le Rougetel, a CE Europe PR-menedzsere és vezető vírusszakértője szerint a vírus sokkal gyorsabban terjedt el, mint azt korábban elképzelték. Azt a szakember is elismerte, hogy a kártevő és közvetve maga a marketingakció is teljesen kikerült az ellenőrzésük alól és elképzelésük sincsen arra, hogy hogyan állítsák meg a T-Virus hódítását.










Ben Le Rougetel nyilatkozata

Csak egy kérdés: Ben Le Rougetel Úr, ez is a játék része, vagy csak „véletlenül” a világra szabadítottak egy „ártalmatlan vírust” - amilyen, mint tudjuk, nincs.