Ingyenes megoldás a Panda Software-től a MyDoom.AO ellen

forrás Prim Online, 2005. február 21. 19:20
A Panda Software szakemberei a megfertőződött felhasználóknak is azonnal és ingyenesen nyújtanak megoldást, a Panda nemzetközi weboldaláról már letölthető a PQRemove tool:http://www.pandasoftware.com/download/utilities.

Új vírus ütötte fel a fejét, amely sorra támadja a számítógépeket világszerte. A MyDoom.AO által tett lépések kiszámíthatóak. Először is egy folyamat automatikusan e-mail címek után kutat különböző fájlokban a felhasználó beavatkozása nélkül. Ez jellemző a féregvírusokra, de nem jellemző más egyéb folyamatokra. Ha ez a keresés kiterjed több keresőre, mint például a Google-ra, Yahoo-ra, vagy más keresőkre, akkor kezdhet gyanakodni, hogy valami nem megfelelően működik a számítógépén. Amint kigyűjtötte a címeket a MyDoom.AO tovább küldi magát minden megtalált e-mail címre a saját SMTP kliensén keresztül.

Ezek a lépések világos jelei annak, hogy az az alkalmazás, ami megpróbálja ezeket a műveleteket elvégezni nem egy hagyományos program, hanem egy tömeges e-mail küldő féregvírus. A Panda Software által kifejlesztett TruPreventTM Technologia, képes kiszűrni minden egyes folyamatot, amely a számítógépen fut és összehasonlítja őket egymással. A TruPreventTM Technologián alapuló rendszerek meg tudják állapítani, hogy egy művelet megfelelő lépéseket akar-e végrehajtani, vagy sem, s milyen esetekben szükséges megállítani a kódot, mielőtt az bármi kárt okozna.


Miközben a felhasználók hagyományos antivírus technológiára épülő megoldásokat használnak, meg kell várniuk, hogy az adott vírus laboratórium reagáljon a vírusra és elkészítse az eltávolításához szükséges kódokat. Ezzel szemben azok a számítógépek, amelyek a TruPreventTM Technologiát használnak, automatikusan védve lesznek, s nem kell megvárniuk, amíg a vírus szignatúra fájlokat frissítik a fejlesztők. Ebben az esetben a vírus megfékezéséhez szükséges idő a szét-terjesztéstől nullára redukálódik.

A vírusok és rosszindulatú kódok az utóbbi néhány években képessé váltak arra, hogy drasztikusan megsokszorozódva több ezer – néha több millió – számítógépet megfertőzzenek, ezért az igény a megfelelő védelmekre teljesen eltér a korábbi, hagyományos antivírus védelmi stratégiáktól. Csak a fent említett képességekkel rendelkező védelmek tudják a MyDoom.AO-hoz hasonló, új fenyegetéseket meggátolni, melyek komoly veszélyt testesítenek meg. Egy e-mail cím publikálása az interneten különböző problémákat okozhat a felhasználónak, amint azt az új MyDoom AO variánsa esetében is tapasztalhattuk, amely nemrég jelent meg az Interneten. A MyDoom más variánsaival együtt ez is e-mail címeket keres, amelyekre tovább küldi magát egyes Internetes kereső oldalak használatával. Ez azért sem jelent nehézséget számára, mert a felhasználók gyakran megadják az e-mail címeiket különböző Internetes fórumokon, weboldalakon.

Egy e-mail címet rendkívül egyszerű felismerni, mivel egy speciális karaktert tartalmaz – “@”, amely csak e-mailek esetén használatos. Ha egy kereső oldalon rákeres a “@” szimbólumra + egy adott domainre, akkor az adott domainhez tartozó e-mailek listája fog megjelenni, amiket a felhasználók publikáltak az interneten.

A felhasználókat többször is figyelmeztették, hogy ne publikálják az e-mail címeiket az interneten, nem csak a spamek miatt, de azért sem, mert vírusok is kihasználhatják a címeiket. A különböző e-mail cím keresési technikák hasonlóak a MyDoom.AO-ban használt technikához, amely kéretlen e-mailek áradatát küldi szét különböző e-mail címekre.

Habár sok esetben szükségszerű az e-mail cím megadása - mint például USENET hírcsoportoknál -, de ezeket a címeket spam küldők összegyűjthetik és felhasználhatják. A leggyorsabb megoldás az, ha álcázzák az e-mail címet, így a rendszer nem észleli az álcát, s aki az adott e-mail címre kíván írni egy hibás címet fog látni. Az a módja ennek, hogy a “NOSPAM” szót beleírjuk a címbe, pl.: “userNOSPAM@dominio.com” Ettől függetlenül azok a rendszerek, amelyek címekre keresnek rá, észlelik ezt is és közömbösítik. Ezenkívül ha az üzenetet elküldik a levelezést kiszolgáló rendszer a továbbiakban is fogadni fogja az üzenetet, amíg maga a domain érvényes. Ezért egy jobb rendszer tartalmaz olyan karaktereket vagy kifejezéseket, amik érvénytelenné tesznek egy – egy e-mail címet, s így bárki aki üzenetet kívánküldeni, látni fogja, hogy ez egy “álcázott” cím. Egy példa erre: “user@d_o_m_a_i_n.com” vagy egy ehhez hasonló. Ilyenkor egy üzenetben kell közölni a valós cím eléréséhez mi a teendő. Ebben az esetben: “Távolítsa el az aláhúzásokat a betűk közül”.

Ennek a technikának az eredménye az, hogy a keresők valós e-mail cím keresése problémássá válik. A keresőket először egy féregvírus használta fel erre a célra, - név szerint a MyDoom.N variánsa 2004 júliusában -, amikor is váratlanul túlterhelte a keresőket, amely több esetben a szolgáltatás megtagadásához vezetett ez az úgy nevezett DOS támadás (denial of services). Ezt követően a kereső oldalakat üzemeltető cégek módosításokat végeztek, így ha bárki a keresőbe beírja a “@” szimbólumot, s rákeres, találatként semmit sem fog már kapni, míg azelőtt több millió e-mail címet listázott ki.