Kaspersky novemberi víruslista: Vége a Netsky uralmának
forrás Prim Online, 2004. december 17. 10:29
A Kaspersky Labs, az egyik vezető információbiztonsági
szoftverfejlesztő vállalat novemberi vírusstatisztikájában a Bagle.at
felküzdötte magát a lista élére. A Bagle.at és a Mydoom.ab október
végén jelent meg, de csak novemberben sikerült igazán teret hódítaniuk,
és most már át is vették a vezetést a listán. Emellett a Mydoom.ab
belépett 2004 rekorderei közé, mivel 12 helyet lépett felfelé. A
november ezenkívül a NetSky monopólium végét jelzi, mivel a hónapban
megjelent négy új féreg kiszorította a NetSky variánsokat.
A november egyik legérdekesebb újdonsága a Bofra.b, amely a Mydoom forráskódjára épül, de elegendő módosítást tartalmaz ahhoz, hogy külön családot hozzon létre. Sok szállító hosszú ideig azt gondolta, hogy a féreg csupán a Mydoom egy újabb verziója, de végül egyetértés született arról, hogy a féreg egy olyan új rosszindulatú alkalmazás, amely saját nevet érdemel. Azért jutottak erre a döntésre, mert a Bofra másképp támadja meg a számítógépeket, mint a Mydoom. A Bofra egy http szervert indít el a megfertőzött számítógépen, majd ezen a szerveren megnyit egy speciális felépítésű html oldalt. Az oldalt úgy készítették el, hogy kihasználja az Internet Explorer egyik IFrame puffer-túlcsordulást okozó biztonsági hibáját. A Bofra által küldött e-mailek nem a féreg másolatát, hanem egy már megfertőzött számítógépre mutató hivatkozást tartalmaznak. Ha a felhasználó a hivatkozásra kattint, a számítógép megjeleníti a fertőzött oldalt és a Bofra bejut a számítógépre.
Az e havi húszas lista másik új belépője a Sober.i. Felhasználók milliói (főként Németországban és Ausztriában, de más európai országokban is) megkapták a féreg legújabb variánsát levélben, amely kisebb járványt okozott a Kontinensen. A támadás a féreg kódjában található hibáknak köszönhetően rövid életű volt. A hibák miatt a féreg saját maga helyett értelmetlen adatokat küld el e-mailben.
A koreai LovGate.w féreg hosszú ideje tagja az első húsz kód listájának. Ebben a hónapban azonban új formában is megjelent LovGate.ad néven. Ezt a variánst 2004 júliusában észlelték először, de mostanáig nem került fel a listára. A húszas lista más férgeivel ellentétben nem kéretlen levelekkel terjed, hanem egy hagyományosabb módszert használ, mivel kezdetben csak néhány fertőzött számítógépről fertőz, majd fokozatosan jön lendületbe. Az a tény, hogy a LovGate ebben a hónapban a 6. és a 18. helyet foglalta el, bizonyítja terjedési módszerének hatékonyságát.