Trend Micro: szeptemberben 600%-kal több új rosszindulatú kód
forrás Prim Online, 2004. október 6. 12:48
A TrendLabs mintegy 1485 új rosszindulatú kódot észlelt szeptemberben,
az előző év azonos időszakában regisztrált 250 új rosszindulatú kóddal
szemben. Az észlelt rosszindulatú kódok mintegy 61%-át a trójai
programok (többek között a hátsó ajtók), 29%-át pedig a férgek teszik
ki. A legmeglepőbb, hogy az ebben a hónapban a TrendLabs által észlelt
férgek 79%-a (illetve több mint 400) ‘bot’ program, mely a távolról
irányított ‘zombie’ hálózatok terjeszkedését tükrözi.
Nyilvánvaló változás észlelhető a víruskészítés motivációs hátterében. Míg korábban a vírusírók a hírnév megszerzésére törekedtek, úgy tűnik, hogy napjainkban a pénzügyi haszon és ellenszolgáltatás inspirálja őket. Ezt mutatja a 'zombie' hálózatok létrehozására készített rosszindulatú kódok növekvő száma is. Ezek a hálózatok bármikor bérbe adhatók a legmagasabb összeget ajánlónak (lásd alább). A jelenséget jól mutatják az információkat eltulajdonító trójai programok sikeres kiadásai is, például a TROJ_BANKER és TROJ_BANCOS variánsok, amelyek megpróbálnak fontos információkat (többek között bankszámla-adatokat) eltulajdonítani a fertőzött számítógépek felhasználóitól. A rosszindulatú kódok forrásának egyre könyebb elérhetősége az interneten egy másik meghatározó tényező, mivel lehetővé teszi a hackerek számára a kódok módosításával új variánsok létrehozását és "kiengedését a vadonba". Ez különösen igaz a Mydoom, Bagle és Lovgate típusú férgek esetében.
A ‘zombie’ hálózatok létrehozására készített programok egyre gyakoribbak
A TrendLabs mintegy 400 ilyen jellegű (bot) program elterjedését jegyezte fel ebben a hónapban az előző év azonos időszakában észlelt 17-hez képest. Ezek a rosszindulatú kódok általában a hálózat sebezhetőségét és az internet relay chat (IRC) csatornákat használják ki, így biztosítva távoli támadási hozzáférést a megfertőzött számítógépekhez. Ez lehetővé teszi a támadó számára a rendszer feletti irányítás átvételét, és felhasználható egy 'zombie' hálózat létrehozására. A zombie hálózat informatikai rendszerek egy csoportja, amely titokban használható rosszindulatú célokra, például túlterheléses támadásokra. Az ilyen hálózatok ideiglenes spamtovábbítóként is bérbe adhatók. A bot programok növekvő száma a bot hálózatok elterjedését mutatja.
A Sasser féreg még mindig terjed
A SASSER.B féreg a megjelenés után négy hónappal is vezeti a TrendLabs gyakoriság alapján felállított víruslistáját. 2004. szeptemberében a Sasser a listán szereplő fertőzések 31%-áért volt felelős - a férget Indiában észlelték a legnagyobb mértékben. Ez azt mutatja, hogy még mindig sok olyan rendszer létezik, amely védtelen a szóban forgó sebezhetőséggel szemben, a biztonsági iparág minden szektorából indított folyamatosan ismétlődő kampányok ellenére.
A BAGLE és MYDOOM férgek újraéledése
2004. augusztus 25. és szeptember 25. közötti időszakban a Trend Micro csak egy közepes szintű riasztást jelentett be a WORM_BAGLE.AI féreghez kapcsolódóan. Az idei év korábbi vírusháborújának folytatásaként júliusban és augusztus elején a Bagle féreg jelentős új variánsait láttuk. E féreg legújabb variánsai összetettebb terjedési rutint használnak, mint az egyszerű tömeges levélküldési technikákat használó elődeik. Az újabb variánsok egy trójai program letöltő összetevőt és egy HTML parancsfájlt küldenek zip fájlban, valamint hálózati megosztásokon keresztül. A korábbi szokását megtartva a legújabb Bangle variáns továbbra is eltávolítja a rivális Netsky variánsok nyomait. Az először 2004. januárjában megjelent MyDoom öt új variánsa jelent meg ebben a hónapban - jól mutatva, hogy még mindig érezhető a jelenléte.