A szeptember 25. és október 25. közötti időszak viszonylag csendesnek bizonyult a Trend Micro megfigyelése szerint. A Trend Micro WTC (World Virus Tracking Center - vírusfigyelő központ) tíz legelterjedtebb rosszindulatú kódot tartalmazó listáját a szokásos szereplők töltik meg. A múlt hónaphoz képest nagyon kevés, bár fontos változás történt a listában. A TrendLabs összesen 1817 rosszindulatú kódot észlelt 2004. októberében. Ez a szám 22%-os növekedést jelent az előző hónaphoz képest.
A tízes lista kódjai által okozott összes fertőzés több mint 20%-kal kevesebb az előző havinál. Egyes kódok, különösen a WORM_NETSKY.P fertőzéseinek száma azonban nőtt.
1. ábra Trend Micro WTC - A tíz legelterjedtebb rosszindulatú kód (2004. október 20.)
A leghírhedtebb fenyegetések listájának élén eltöltött három hónap után a SASSER féreg támadásai ritkulni látszanak. Számottevően csökkent a WORM_SASSER.B fertőzések száma, ami akár annak a jele is lehet, hogy egyre kevesebb a frissítetlen, az LSSAS biztonsági rést nyitva hagyó rendszer. Ez a legutolsó SASSER változat, amely az elmúlt hónapokban a lista első helyén állt, az októberi listán nem szerepel.
Ezzel párhuzamosan a NETSKY átvette a vezetést. A SASSER.B helyének elfoglalása mellett a WORM_NETSKY.P - az elmúlt hónapok legszélesebb körű fertőzését magáénak tudó NETSKY változat - jelentős mértékű, 30%-os növekedést mutatott az előző hónaphoz képest. Ezzel a WORM_NETSKY.P összes fertőzésének száma március óta világviszonylatban meghaladja a kétmilliót, ami a WORM_SASSER.B fertőzéseinek közel háromszorosa.
A WORM_NETSKY.P mellett négy másik NETSKY változat is található a tíz legelterjedtebb rosszindulatú kód között. Ezek a lista tíz szereplőjénél regisztrált összes fertőzés mintegy felét (45%) teszik ki.
Múlt hónapban a tetőpontot jelentő ez év áprilisi támadások óta a NETSKY fertőzésszáma először csökkent 400 000 alá, ami az áprilisi adatnak körülbelül ötöde. Ez még mindig magasnak tekinthető, legfőképp azért, mert a NETSKY férgek alapvetően az emberi hiszékenységet használják ki terjedésükhöz. Ebben a hónapban azonban a fertőzések száma április óta először ismét emelkedni kezdett és elérte a 400 000-es értéket.
2. ábra NETSKY fertőzések (2004. február-október) a WTC adatai alapján
A NETSKY folyamatos jelenlétének legfontosabb tényezője annak a láthatóan kiirthatatlan szokásnak a kihasználása, amely szerint a felhasználók előszeretettel nyitják meg az ‑ akár ismeretlen forrásból érkező ‑ e-mailek mellékleteit. A SASSER féreggel ellentétben, amelynek nincs szüksége felhasználói közreműködésre a terjedéshez, a NETSKY ezen emberi biztonsági rés segítségével terjed.
A trójai és "bot" programok aránya tovább növekszik
A trójai programok száma tovább növekszik, és a Trend Micro által az elmúlt hónapban észlelt rosszindulatú kódok döntő részét teszik ki. Az október folyamán felfedezett trójai programok teljes száma közel 30%-kal több az előző havi értéknél, ezek adják a hónap során felfedezett összes rosszindulatú kód több mint 47%-át. Ez a szám 45%-os növekedést jelent az előző hónaphoz képest. A hátsó ajtót nyitó programokkal együtt az észlelt rosszindulatú kódok közel 65%-a trójai.
A kártékony kódok második leggyakoribb típusa a féreg. Ezek alkotják az októberben felfedezett kódok mintegy 30%-át. Ez a szám nagyjából megegyezik az előző havi értékkel. Amint az az előző hónapok adataiból kitűnt, a bot programok továbbra is az észlelt férgek 75%-át teszik ki. A bot programok nem csökkenő jelenléte is jól mutatja a bot "zombi" hálózatok terjedését. Mivel a bot programok általában hátsó ajtót nyitó komponenst is tartalmaznak, elosztott túlterheléses (DDoS) jellegű támadások alapját képezhetik. Napjainkban már a leggyakoribb biztonsági réseket is kihasználják terjedési és fertőzési képességeik növelése érdekében.
A legújabb trendek szerint a botok támadásai gyakran üzleti alapúak. A bot programok hátsó ajtó funkciói segítségével a rosszindulatú felhasználók információt lophatnak a fertőzött rendszerekből, amelyeket később értékesíthetnek. Egyes szerzők hacker fórumokon vagy egyéb hasonló on-line találkozóhelyeken teszik pénzzé műveiket. Megint mások botokkal fertőzött rendszerek hozzáféréseit árulják.
3. ábra 2004. októberében felfedezett rosszindulatú kódok típus szerint
Öt hónappal a megjelenés után a PE_ZAFI.B még mindig fenyegetIdén júniusban fedezték fel a romboló hatású, fájlfertőző PE_ZAFI.B férget, amely biztosította első helyét a WTC legelterjedtebb rosszindulatú kódokat rangsoroló listáján, lejjebb szorítva a féktelenül burjánzó NETSKY hat különböző változatát. Ma, öt hónappal később, továbbra is jelentős fenyegetést jelent. A lista második helyénél soha nem csúszott lejjebb. A 4. ábra a PE_ZAFI.B fertőzések számát mutatja az elmúlt néhány hónapban.
4. ábra PE_ZAFI.B fertőzések (2004. június - október) a WTC adatai alapján
A fájlokat támadó féreg fertőzései nagymértékben csökkentek júniusi megjelenése óta. Ebben a hónapban a fertőzések száma az előző havi értéknél 35%-kal kevesebb, és a júniusinak csak mintegy 30%-a. Ennek ellenére a PE_ZAFI.B kitartó jelenléte a tíz legelterjedtebb rosszindulatú kód között különösen azért fontos, mert romboló hatású fájlfertőző programról van szó.
A PE_ZAFI.B felülírja a véletlenszerűen választott mappákban talált .EXE fájlokat. Módszere az .EXE fájlok törlése és saját másolatainak elhelyezése a törölt fájlok nevének felhasználásával. Emellett letiltja a "regedit", "msconfig" és "task" kifejezéseket tartalmazó folyamatok futtatását.
Elterjedtségét ugyanazon technikáknak köszönheti, amelyek már az eddigi leggyakoribb rosszindulatú kódok, mint például a BAGLE vagy a NETSKY esetében is hatásosnak és hatékonynak bizonyultak. Tömegesen küldi el magát a fertőzött rendszerből gyűjtött e-mail címekre, legtöbbször az általa meghatározott levelezőszervereken keresztül. A felhasználókat pedig úgy veszi rá a melléklet megnyitására, hogy hangüzenetnek, pornográf fotónak vagy elektronikus képeslapnak igyekszik feltüntetni a küldeményt.
Az ilyen féreg peer-to-peer hálózatokon is képes terjedni. Az általa megosztottnak vélt mappákba csalogató fájlnevekkel helyezi el saját másolatait, valamely népszerű alkalmazás telepítőprogramjának utánzásával tévesztve meg a felhasználókat. Sikerét egyértelműen az teszi lehetővé, hogy az emberi hiszékenység kihasználása hatásos terjesztési eszköz. Az ilyen típusú fenyegetések várhatóan nem fognak megszűnni, hiszen az emberi gyengeséget használják ki, ami a hagyományos biztonsági megoldások keretében szinte kezelhetetlen.
A feltámadó MYDOOM és BAGLE férgek jelenléte a mostani nyugodtabb időszakban is érzékelhetőBár a szeptember 25. és október 25. közötti időszak viszonylag csendes volt, a MYDOOM és a BAGLE szerzői megjelentették a figyelemreméltó WORM_BAGLE.AU és WORM_MYDOOM.AA változatokat. A WORM_MYDOOM.AA, az év eleje óta nagy károkat okozó tömeges levélküldők hírhedt családjának egyik legújabb tagja a kódjában megjelenő következő sorokkal hívta fel magára a figyelmet:
Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-secure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol.
A szerencsés vírusirtóknak ;P~. A Sasser szerzője informatikai biztonsági állást kapott, mi pedig a Mydoommal, P2P férgekkel és biztonsági rések kihasználásával foglalkozunk. Meg fogjuk támadni az f-secure-t, symantec-et,trendmicro-t,mcafee-t stb. Március 11. a skynet napja lesz. Ha a beagle és a mydoom veszít, abbahagyjuk <== Hol van most a Skynet? lol.
A vírusvédelmi cégek fenyegetése mellett a szöveg arra a híre is reagál, amely szerint egy biztonságtechnikai cégnél dolgozik az a német tinédzser, aki a SASSER és NETSKY férgek állítólagos szerzője. A tizennyolc éves Sven Jaschan programozó gyakornok a SecurePoint vállalatnál, miközben Németországban bírósági tárgyalás vár rá számítógépes visszaélés miatt, mivel a vád szerint ő a SASSER féreg szerzője.
A BAGLE tömeges levélküldő féregcsaládnak, amely 11 közepes szintű fertőzési hullámával a legtöbb riasztást okozta idén, 2004. októberében 13 újabb változata jelent meg. A legutolsó riasztást augusztus 31-én a WORM_BAGLE.AI nevű BAGLE változat okozta. Mivel a BAGLE tartja a fertőzési hullámok számának idei rekordját, és az elmúlt tíz hónapból hatban legalább egy riasztás történt valamelyik BAGLE változat ellen, adódik az a következtetés, hogy hamarosan újabb BAGLE támadásnak nézünk elébe.
Új biztonsági rést kihasználó rosszindulatú kódot fedeztek fel rögtön a Microsoft biztonsági frissítések megjelenése utánA Microsoft október 12-én tíz biztonsági frissítést jelentetett meg. E tíz biztonsági rés közül nyolc kihasználása távoli kódvégrehajtást eredményezhet. Alig két héttel a biztonsági frissítések megjelenése után felfedezték az egyik ilyen, MS04-032 jelű hibát kihasználó HKTL_MS04-032 programot.
Az MS04-032 egyebek mellett a Windows EMF képfájlok megjelenítésekor lép életbe, és lehetővé teszi, hogy a támadó távolról futtasson shell kódot a sebezhető rendszeren. A biztonsági rést kihasználó módosított EMF fájlok egy megadott TCP portot nyitnak a rendszerben, és azon várják a távoli felhasználó parancsait.
A HKTL_MS04-032 egy e biztonsági rést kihasználó EMF fájlokat létrehozó parancssori támadó eszköz. Október 22-én fedezték fel, mindössze tíz nappal az után, hogy a Microsoft kiadta biztonsági jelentését.
A támadó eszköz által generált fájlok előnézetük megtekintése vagy kézi megnyitásuk esetén futtatják le a kódot.