Háborúba kezdtek a vírusírók

forrás Prim Online, 2005. augusztus 17. 17:34
A Windows operációs rendszer biztonsági javításainak múlt keddi megjelenése óta egyfajta háború alakult ki a vírusíró csoportok között - figyelmeztet az F-Secure Corporation.
A vírusírók célja, hogy minél több fertőzött számítógépből álló hálózatot vonjanak az irányításuk alá. A világ számos nagy szervezeténél riadókészültséget rendeltek el a napokban megjelent három féregcsalád - a Zotob, a Bozori és az IRCbot - újabb és újabb variánsai miatt.

Augusztus 9-én, kedden adta ki a Microsoft a Windows legújabb biztonsági frissítéseit. Ez a csomag számos kritikus javítást tartalmazott: egyikük a Microsoft Plug-and-Play szolgáltatás sebezhetőségét szüntette meg (MS05-039).

Augusztus 10-én, szerdán egy orosz nemzetiségű, Houseofdabus néven ismert személy olyan kódot adott ki, amely a Plug-and-Play sebezhetőségre építve képes a nem frissített Windows 2000 operációs rendszert használó számítógépek feletti irányítás átvételére.

Augusztus 14-én, szombaton észlelték a Zotob.A férget. Egy ismeretlen személy vagy társaság a Houseofdabus által készített kódot beépítette a féregbe, ami így már automatikusan terjed az interneten. A mostani eset kísértetiesen hasonlít a 2004 májusában történtekre, amikor Sven Jaschen vírusíró a LSASS sebezhetőséget kihasználó Houseofdabus-kódot építette be az azóta elhíresült Sasser féregbe.

Augusztus 17-ig, szerdáig az F-Secure kilenc olyan rosszindulatú kódot észlelt, amely ugyanazt a kódot használja a terjedéshez, többek között IRCbot, Zotob és Bozori variánsokat.

E férgek folyamatosan fertőzik azokat a Windows 2000 számítógépeket, amelyekre nem töltötték le a frissítést, a javítás telepítése óta nem indítottak újra, vagy nem védi őket tűzfal. A fertőzésekről folyamatosan futnak be jelentések a nagy szervezetektől, elsősorban az Egyesült Államokból. Ezekben a szervezetekben a fertőzés nagy valószínűséggel olyan fertőzött laptopokról ered, amelyeket bevittek a szervezet tűzfala mögé.

Az új Plug-and-Play férgek csak azokat a Windows 2000 operációs rendszert használó számítógépeket fertőzik meg, amelyeket nem véd tűzfal. E féreg a terjedéshez a számítógépek 445/TCP portját vizsgálja, és megfelelő védelem híján a sebezhetőséget kihasználó kód segítségével FTP protokollon keresztül letölti a fő vírusfájlt. Ezután telepít egy FTP szervert a fertőzött számítógépre, majd további célpontokat keres a terjedéshez.

"Úgy tűnik, hogy botháborúval állunk szemben. Nyilvánvalóan három vírusíró bandáról van szó, akik riasztó sebességgel jelentetik meg az új vírusokat - mintha azért versengenének, hogy ki birtokolja a fertőzött számítógépekből álló legnagyobb hálózatot. A Bozori legújabb variánsai még el is távolítják a konkurens Zotob vírusokat a számítógépekről" - jegyezte meg a történtek kapcsán Mikko Hyppönen, az F-Secure Corporation antivírus-kutatási igazgatója.