Kaspersky: folytatódik az internetes férgek számának növekedése
forrás Prim Online, 2004. január 14. 19:21
2003-ban 9 nagyobb és 26 főleg helyi jellegű, kevésbé jelentős vírustámadást jegyeztek. Ezek az adatok a 2002-es évhez képest alacsonyabbak, amikor is 12 nagyobb és 34 kisebb eset történt. A támadások számának csökkenése ellenére azonban azok mértéke és az internetre gyakorolt hatása jelentősen megnőtt.
Fő vírustámadások
2003-ban két globális vírustámadás volt, melyek a legnagyobbnak bizonyultak az internet történetében. Megjegyzendő, hogy ezeket a támadásokat nem a klasszikus e-mail férgek okozták, hanem hálózati adatcsomagként terjedő, internethez átalakított férgek.
Az első támadás január 25-én történt az Slammer (Helkern) nevű internetféreg által, amely a Microsoft SQL szerver sebezhetőségét használta ki terjedéséhez. A Slammer vírus vált az első fájlfüggetlen internetféreggé, amely teljes mértékben bemutatta a 2001-ben „flashwormként” meghatározott féreg képességeit. 2003. január 25-én a férgek percek alatt több millió számítógépet fertőztek meg világszerte, valamint 40 és 80 százalék között (a becslések különbözőek) növelték a hálózati forgalmat, amely a nemzeti alapszerverek összeomlását okozta. A féreg a 1433 és 1434 portokon keresztül terjedt; behatoláskor nem másolta le magát a lemezre, egyszerűen a fertőzött számítógép memóriájában maradt. A támadás egy elemzése azt mutatja, hogy a féreg nagy valószínűséggel Kelet-Ázsiából származik.
A második támadás, mely legalább akkora veszélyt jelentett, augusztus 12-én kezdődött a Lovesan (Blaster) nevű féreggel. A Lovesan egyértelműen bemutatta az egész világ számára, hogy milyen sebezhető a népszerű Windows operációs rendszer, hiszen egy Windows biztonsági rést használt a terjedéshez. A Slammer vírussal ellentétben azonban a Lovesan a RPC DCOM szolgáltatás biztonsági rését használta ki, mely jelen van minden Windows 2000/XP alatt működő számítógépen. Ez azt jelentette, hogy abban az időben az internetfelhasználók nagy részét veszélyeztette a féreg.
A féreg első megjelenése után alig néhány nappal a Lovesan három másik verzióját is megtalálták. Ezután elterjedt az interneten a Welchia féreg, mely ugyanazt a Windows-hibát használta fel. A Welchia azonban különbözött az eredeti féregtől. Ez a kód törölte a fertőzött gépekről a Lovesan példányait, és megpróbált egy javítást telepíteni az RPC DCOM szolgáltatáshoz. A 2003-as év az e-mail férgek szüntelen támadása jegyében telt. A Ganda és az Avron férgeket januárban ismerték fel. Az előbbit Svédországban írták, és még mindig ez az egyik legelterjedtebb email féreg Skandináviában. A féreg íróját a svéd rendőrség március végén tartóztatta le. Az Avron az első olyan Kazahsztánban írt féreg, mely globális támadást okozott. A féreg forráskódját közzétették a vírusokkal foglalkozó weblapokon, így számos, kevésbé sikeres verzió is készült.
Januárban jelent meg a rendszeres támadásokat okozó Sobig családba tartozó első féreg is. A Sobig.f verzió az összes rekordot megdöntötte, és a legelterjedtebb e-mail féreggé vált az internet történetében. A támadás csúcsán, augusztusban, a Sobig.f minden huszadik e-mail üzenetben jelen volt.
Ez a rosszindulatú program különösen veszélyes volt: a Sobig család íróinak egyik célja az volt, hogy hálózatot építsenek a fertőzött gépekből, és elosztott DoS (túlterheléses) támadást indítsanak véletlenszerűen kiválasztott webhelyek ellen. A fertőzött gépekből álló hálózatot arra is fel kívánták használni, hogy spam üzeneteket küldjenek rajtuk keresztül.
A Tanatos.b e-mail féreg egy másik figyelemre méltó rosszindulatú program volt, mely 2003-ban jelent meg. A Tanatos (Bugbear) első verzióját 2002 közepén írták, a második verzió azonban csak egy évvel később jelent meg. A féreg a Microsoft Outlook biztonsági rendszerének régóta ismert hibáját (az IFRAME rést) használta fel arra, hogy automatikusan elindítsa magát a fertőzött üzenetekből.
A Lentin (Yaha) családba tartozó legújabb férgek is folyamatosan jelennek meg. A jelenlegi adatok szerint az összes ilyen férget Indiában készítette egy helyi hackercsoport az indiai és pakisztáni hackerek közötti virtuális háború keretében. A legelterjedtebbek az M és O verziók, ahol a vírus a fertőzött üzenetekhez csatolt ZIP archívum formájában terjed.
A kelet-európai vírusírók is aktívak voltak 2003-ban. A volt Szovjetunióból származó, globális támadást okozó második féreg a Mimail volt. Ez a féreg az Internet Explorer biztonsági hibáját használta ki önmaga replikására. A biztonsági hiba Mimail alapú hibaként vált ismertté. Ez a biztonsági rés lehetővé tette a HTML fájlokba ágyazott bináris kód kiemelését és futtatását, és elsőként 2003-ban Oroszországban a Trojan.Win32.StartPage.L kód használta ki. Ezt követően a hibát a Mimail féregcsalád és számos trójai program felhasználta. A Mimail szerzője közzétette a forráskódot az interneten, így számos, más országból - például az Egyesült Államokból és Franciaországból - származó vírusíró készített új verziót.
2003. szeptember a Swen Internet-féreg hónapja volt. A Swen Microsoft javítócsomagnak álcázta magát, számítógépek százezreit fertőzte meg a világ minden táján, és máig is a legelterjedtebb e-mail féreg. A vírus írója sikeresen használta ki azt a tényt, hogy a felhasználókat érzékenyen érintették a Lovesan és Sobig.f incidensek, ezért hajlandóak voltak azonnal telepíteni a javítócsomagnak látszó programot.
Két további főbb biztonsági esemény érdemel további figyelmet. Ezek egyikét a Sober okozta, egy viszonylag egyszerű e-mail féreg, melyet egy német programozó írt az év vezető férge, a Sobig.f imitálására. A másik esemény a Trojan Afcore hátsó ajtó volt: annak ellenére, hogy nem terjedt el széles körben, mégis figyelmet érdemel, hiszen érdekes módon rejtette el magát a rendszeren belül: kódját az NTFS fájlrendszer alternatív adatfolyamaiba írta. Még ennél is érdekesebb, hogy az Afcore csak mappák alternatív adatfolyamait használta fel, a fájlokét nem.
2003. év tíz legjelentősebb vírusa
(az e-mail üzenetek forgalmának figyelése alapján)
A rosszindulatú kódok típusai
Az év során a férgek maradtak a meghatározók a rosszindulatú kódok közül. A vírusok a második helyezést érték el, a Macro.Word97.Thus és Macro.Word.Saver makróvírusok tevékenységének köszönhetően. 2003. őszén a trójai programok megelőzték a vírusokat, és ez a trend tovább folytatódik.
Trendek
A leglényegesebb trend 2003-ban a férgek egyeduralmának módja volt. Emellett ebben a kategóriában ijesztő módon megnőtt az internetes férgek száma a klasszikus e-mail férgek rovására. A Kaspersky Labs előrejelzései szerint ez a folyamat tovább folytatódik, és az internetférgek válnak a rosszindulatú kódok egyeduralkodó formájává 2004-ben. Ez kiemeli annak szükségességét, hogy a vírusvédelmi megoldások mellett a céges hálózat minden egyes számítógépére tűzfalat telepítsenek.
Az operációs rendszerek és alkalmazások biztonsági réseinek felfedezése is nagy aggodalomra ad okot. A korábbi években a rendszerbe történő behatoláshoz használt sérülékeny pontok már régóta ismertek voltak, és javítócsomagok is léteztek rájuk, de 2003-ban a hibák felfedezése és kihasználása közötti időtartam hetekre csökkent.
A sérülékeny pont felfedezése és az azt kihasználó támadás között eltelt idő egyre rövidebbé válik. A Slammer esetében a Microsoft SQL Server biztonsági hibája már hat hónappal a támadás előtt ismert volt. Hónapokon belül a rés kihasználásának módja számos helyen megjelent az interneten. A Lovesan viszont, a következő féreg, amely megtámadta az internetet 2003. augusztus 12-én, mindössze 26 nappal azután jelent meg, hogy kiadták a javítócsomagot az MS Windows RPC DCOM biztonsági hibájának javításához.
A számítógépes alvilág megértette, hogy a biztonsági réseken keresztüli támadás a leghatékonyabb módszer a számítógépekbe történő behatolásra, és aktívan ki is használja ezt. Ennek eredményeképp a vírusírók információkat szereznek a legújabb biztonsági hibákról, és gyorsan megírják rosszindulatú programjaikat. A "StartPage" trójai program terjedését 2003. május 20-án regisztrálták. Ez a program az "Exploit.SelfExecHtml" résen keresztül hatolt be, amelyre abban az időben még nem volt javítócsomag. Ennek fényében előfordulhat, hogy a jövőben a biztonsági rések az új vírusjelentéseknek köszönhetően kerülnek napvilágra, nem a szállítók javításokról szóló jelentéseiből.
2003-ban a rosszindulatú programok új platformok és alkalmazások felé történő terjedésének tendenciája megállt. 2002-ben a vírusírók a Flash technológiákat, SQL Server gépeket és fájlcserélő hálózatokat (KaZaA) támadták. 2003-ban a vírusírók a MapInfo térképészeti alkalmazás megtámadására korlátozták tevékenységüket ezen a területen: az MBA.Kynel, egy orosz készítésű, MapBasic nyelven íródott vírus sikeresen megtámadta az ilyen formátumú dokumentumokat, és a Kaspersky Labs terjedőben lévő vírusként azonosította.
2002-ben a trend a hátsó ajtót nyitó (jogosulatlan távoli felügyeleti eszközök) és kémprogramok felé mutatott. Ennek az osztálynak a legkomolyabb képviselője az Agobot és Afcore volt. Jelenleg több mint 40 változat létezik az Agobotból, mivel a program írója létre tudott hozni egy számos webhelyből és IRC csatornából álló hálózatot, ahol 150 dolláros ártól bárki hozzájuthatott a hátsó ajtó egy exkluzív verziójához. A rosszindulatú kódot rendelésre írták, az ügyfél igényeinek megfelelően.
2003 új trendje volt, hogy nyár végén egyre nagyobb mértékben jelentek meg a trójai programok új verziói, a trójai proxy programok, amelyeket proxy szerverek illegális telepítésére készítettek. Ez volt az első és legfeltűnőbb jele a vegyes fenyegetések megjelenésének, amelyek a vírusok és spam közötti falat törték át. Az ilyen trójai programok által megfertőzött számítógépeket a spamküldők használták kéretlen e-mail üzeneteik elosztására, miközben a számítógép tulajdonosa nem tudott erről a jogosulatlan használatról.
Világosan látszik, hogy a spamküldők is részt vettek számos nagy támadásban, ahol a rosszindulatú szoftver kezdeti terjesztése során spamtechnológiákat használtak (Sobig).
A férgek is aktívan terjedtek, és a terjedéshez a távoli hálózati erőforrásokhoz használható jelszavakat lopták el. Az ilyen férgek minden esetben IRC klienseken alapultak, letapogatták az IRC csatorna felhasználóinak címeit, majd megpróbáltak behatolni a felhasználók számítógépébe a NetBIOS protokoll és a 445-ös port használatával. E család legjelentősebb képviselője a Randon féregcsalád volt.
Végül a rosszindulatú szoftverek egy új csoportja is megjelent, a retróvírusok: ezek a vírusok beépített védelemmel rendelkeznek a vírusvédelmi programok és tűzfalak ellen. Ezek a programok általában megpróbálják letörölni az információbiztonsági termékeket a számítógépekről. Az ilyen programok közé tartoztak a Swen, a Lentin és a Tanatos.
Fő vírustámadások
2003-ban két globális vírustámadás volt, melyek a legnagyobbnak bizonyultak az internet történetében. Megjegyzendő, hogy ezeket a támadásokat nem a klasszikus e-mail férgek okozták, hanem hálózati adatcsomagként terjedő, internethez átalakított férgek.
Az első támadás január 25-én történt az Slammer (Helkern) nevű internetféreg által, amely a Microsoft SQL szerver sebezhetőségét használta ki terjedéséhez. A Slammer vírus vált az első fájlfüggetlen internetféreggé, amely teljes mértékben bemutatta a 2001-ben „flashwormként” meghatározott féreg képességeit. 2003. január 25-én a férgek percek alatt több millió számítógépet fertőztek meg világszerte, valamint 40 és 80 százalék között (a becslések különbözőek) növelték a hálózati forgalmat, amely a nemzeti alapszerverek összeomlását okozta. A féreg a 1433 és 1434 portokon keresztül terjedt; behatoláskor nem másolta le magát a lemezre, egyszerűen a fertőzött számítógép memóriájában maradt. A támadás egy elemzése azt mutatja, hogy a féreg nagy valószínűséggel Kelet-Ázsiából származik.
A második támadás, mely legalább akkora veszélyt jelentett, augusztus 12-én kezdődött a Lovesan (Blaster) nevű féreggel. A Lovesan egyértelműen bemutatta az egész világ számára, hogy milyen sebezhető a népszerű Windows operációs rendszer, hiszen egy Windows biztonsági rést használt a terjedéshez. A Slammer vírussal ellentétben azonban a Lovesan a RPC DCOM szolgáltatás biztonsági rését használta ki, mely jelen van minden Windows 2000/XP alatt működő számítógépen. Ez azt jelentette, hogy abban az időben az internetfelhasználók nagy részét veszélyeztette a féreg.
A féreg első megjelenése után alig néhány nappal a Lovesan három másik verzióját is megtalálták. Ezután elterjedt az interneten a Welchia féreg, mely ugyanazt a Windows-hibát használta fel. A Welchia azonban különbözött az eredeti féregtől. Ez a kód törölte a fertőzött gépekről a Lovesan példányait, és megpróbált egy javítást telepíteni az RPC DCOM szolgáltatáshoz. A 2003-as év az e-mail férgek szüntelen támadása jegyében telt. A Ganda és az Avron férgeket januárban ismerték fel. Az előbbit Svédországban írták, és még mindig ez az egyik legelterjedtebb email féreg Skandináviában. A féreg íróját a svéd rendőrség március végén tartóztatta le. Az Avron az első olyan Kazahsztánban írt féreg, mely globális támadást okozott. A féreg forráskódját közzétették a vírusokkal foglalkozó weblapokon, így számos, kevésbé sikeres verzió is készült.
Januárban jelent meg a rendszeres támadásokat okozó Sobig családba tartozó első féreg is. A Sobig.f verzió az összes rekordot megdöntötte, és a legelterjedtebb e-mail féreggé vált az internet történetében. A támadás csúcsán, augusztusban, a Sobig.f minden huszadik e-mail üzenetben jelen volt.
Ez a rosszindulatú program különösen veszélyes volt: a Sobig család íróinak egyik célja az volt, hogy hálózatot építsenek a fertőzött gépekből, és elosztott DoS (túlterheléses) támadást indítsanak véletlenszerűen kiválasztott webhelyek ellen. A fertőzött gépekből álló hálózatot arra is fel kívánták használni, hogy spam üzeneteket küldjenek rajtuk keresztül.
A Tanatos.b e-mail féreg egy másik figyelemre méltó rosszindulatú program volt, mely 2003-ban jelent meg. A Tanatos (Bugbear) első verzióját 2002 közepén írták, a második verzió azonban csak egy évvel később jelent meg. A féreg a Microsoft Outlook biztonsági rendszerének régóta ismert hibáját (az IFRAME rést) használta fel arra, hogy automatikusan elindítsa magát a fertőzött üzenetekből.
A Lentin (Yaha) családba tartozó legújabb férgek is folyamatosan jelennek meg. A jelenlegi adatok szerint az összes ilyen férget Indiában készítette egy helyi hackercsoport az indiai és pakisztáni hackerek közötti virtuális háború keretében. A legelterjedtebbek az M és O verziók, ahol a vírus a fertőzött üzenetekhez csatolt ZIP archívum formájában terjed.
A kelet-európai vírusírók is aktívak voltak 2003-ban. A volt Szovjetunióból származó, globális támadást okozó második féreg a Mimail volt. Ez a féreg az Internet Explorer biztonsági hibáját használta ki önmaga replikására. A biztonsági hiba Mimail alapú hibaként vált ismertté. Ez a biztonsági rés lehetővé tette a HTML fájlokba ágyazott bináris kód kiemelését és futtatását, és elsőként 2003-ban Oroszországban a Trojan.Win32.StartPage.L kód használta ki. Ezt követően a hibát a Mimail féregcsalád és számos trójai program felhasználta. A Mimail szerzője közzétette a forráskódot az interneten, így számos, más országból - például az Egyesült Államokból és Franciaországból - származó vírusíró készített új verziót.
2003. szeptember a Swen Internet-féreg hónapja volt. A Swen Microsoft javítócsomagnak álcázta magát, számítógépek százezreit fertőzte meg a világ minden táján, és máig is a legelterjedtebb e-mail féreg. A vírus írója sikeresen használta ki azt a tényt, hogy a felhasználókat érzékenyen érintették a Lovesan és Sobig.f incidensek, ezért hajlandóak voltak azonnal telepíteni a javítócsomagnak látszó programot.
Két további főbb biztonsági esemény érdemel további figyelmet. Ezek egyikét a Sober okozta, egy viszonylag egyszerű e-mail féreg, melyet egy német programozó írt az év vezető férge, a Sobig.f imitálására. A másik esemény a Trojan Afcore hátsó ajtó volt: annak ellenére, hogy nem terjedt el széles körben, mégis figyelmet érdemel, hiszen érdekes módon rejtette el magát a rendszeren belül: kódját az NTFS fájlrendszer alternatív adatfolyamaiba írta. Még ennél is érdekesebb, hogy az Afcore csak mappák alternatív adatfolyamait használta fel, a fájlokét nem.
2003. év tíz legjelentősebb vírusa
(az e-mail üzenetek forgalmának figyelése alapján)
- I-Worm.Sobig 18,25%
- I-Worm.Klez 16,84%
- I-Worm.Swen 11,01%
- I-Worm.Lentin 8,46%
- I-Worm.Tanatos 2,72%
- I-Worm.Avron 2,14%
- Macro.Word97.Thus 2,02%
- I-Worm.Mimail 1,45%
- I-Worm.Hybris 1,12%
- I-Worm.Roron 1,01%
A rosszindulatú kódok típusai
Az év során a férgek maradtak a meghatározók a rosszindulatú kódok közül. A vírusok a második helyezést érték el, a Macro.Word97.Thus és Macro.Word.Saver makróvírusok tevékenységének köszönhetően. 2003. őszén a trójai programok megelőzték a vírusokat, és ez a trend tovább folytatódik.
Trendek
A leglényegesebb trend 2003-ban a férgek egyeduralmának módja volt. Emellett ebben a kategóriában ijesztő módon megnőtt az internetes férgek száma a klasszikus e-mail férgek rovására. A Kaspersky Labs előrejelzései szerint ez a folyamat tovább folytatódik, és az internetférgek válnak a rosszindulatú kódok egyeduralkodó formájává 2004-ben. Ez kiemeli annak szükségességét, hogy a vírusvédelmi megoldások mellett a céges hálózat minden egyes számítógépére tűzfalat telepítsenek.
Az operációs rendszerek és alkalmazások biztonsági réseinek felfedezése is nagy aggodalomra ad okot. A korábbi években a rendszerbe történő behatoláshoz használt sérülékeny pontok már régóta ismertek voltak, és javítócsomagok is léteztek rájuk, de 2003-ban a hibák felfedezése és kihasználása közötti időtartam hetekre csökkent.
A sérülékeny pont felfedezése és az azt kihasználó támadás között eltelt idő egyre rövidebbé válik. A Slammer esetében a Microsoft SQL Server biztonsági hibája már hat hónappal a támadás előtt ismert volt. Hónapokon belül a rés kihasználásának módja számos helyen megjelent az interneten. A Lovesan viszont, a következő féreg, amely megtámadta az internetet 2003. augusztus 12-én, mindössze 26 nappal azután jelent meg, hogy kiadták a javítócsomagot az MS Windows RPC DCOM biztonsági hibájának javításához.
A számítógépes alvilág megértette, hogy a biztonsági réseken keresztüli támadás a leghatékonyabb módszer a számítógépekbe történő behatolásra, és aktívan ki is használja ezt. Ennek eredményeképp a vírusírók információkat szereznek a legújabb biztonsági hibákról, és gyorsan megírják rosszindulatú programjaikat. A "StartPage" trójai program terjedését 2003. május 20-án regisztrálták. Ez a program az "Exploit.SelfExecHtml" résen keresztül hatolt be, amelyre abban az időben még nem volt javítócsomag. Ennek fényében előfordulhat, hogy a jövőben a biztonsági rések az új vírusjelentéseknek köszönhetően kerülnek napvilágra, nem a szállítók javításokról szóló jelentéseiből.
2003-ban a rosszindulatú programok új platformok és alkalmazások felé történő terjedésének tendenciája megállt. 2002-ben a vírusírók a Flash technológiákat, SQL Server gépeket és fájlcserélő hálózatokat (KaZaA) támadták. 2003-ban a vírusírók a MapInfo térképészeti alkalmazás megtámadására korlátozták tevékenységüket ezen a területen: az MBA.Kynel, egy orosz készítésű, MapBasic nyelven íródott vírus sikeresen megtámadta az ilyen formátumú dokumentumokat, és a Kaspersky Labs terjedőben lévő vírusként azonosította.
2002-ben a trend a hátsó ajtót nyitó (jogosulatlan távoli felügyeleti eszközök) és kémprogramok felé mutatott. Ennek az osztálynak a legkomolyabb képviselője az Agobot és Afcore volt. Jelenleg több mint 40 változat létezik az Agobotból, mivel a program írója létre tudott hozni egy számos webhelyből és IRC csatornából álló hálózatot, ahol 150 dolláros ártól bárki hozzájuthatott a hátsó ajtó egy exkluzív verziójához. A rosszindulatú kódot rendelésre írták, az ügyfél igényeinek megfelelően.
2003 új trendje volt, hogy nyár végén egyre nagyobb mértékben jelentek meg a trójai programok új verziói, a trójai proxy programok, amelyeket proxy szerverek illegális telepítésére készítettek. Ez volt az első és legfeltűnőbb jele a vegyes fenyegetések megjelenésének, amelyek a vírusok és spam közötti falat törték át. Az ilyen trójai programok által megfertőzött számítógépeket a spamküldők használták kéretlen e-mail üzeneteik elosztására, miközben a számítógép tulajdonosa nem tudott erről a jogosulatlan használatról.
Világosan látszik, hogy a spamküldők is részt vettek számos nagy támadásban, ahol a rosszindulatú szoftver kezdeti terjesztése során spamtechnológiákat használtak (Sobig).
A férgek is aktívan terjedtek, és a terjedéshez a távoli hálózati erőforrásokhoz használható jelszavakat lopták el. Az ilyen férgek minden esetben IRC klienseken alapultak, letapogatták az IRC csatorna felhasználóinak címeit, majd megpróbáltak behatolni a felhasználók számítógépébe a NetBIOS protokoll és a 445-ös port használatával. E család legjelentősebb képviselője a Randon féregcsalád volt.
Végül a rosszindulatú szoftverek egy új csoportja is megjelent, a retróvírusok: ezek a vírusok beépített védelemmel rendelkeznek a vírusvédelmi programok és tűzfalak ellen. Ezek a programok általában megpróbálják letörölni az információbiztonsági termékeket a számítógépekről. Az ilyen programok közé tartoztak a Swen, a Lentin és a Tanatos.
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- A legextrémebb vírusok toplistája
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- A Microsoft megváltoztatja az antivírus piacot
- Antivírus-védelem Linuxnak és Unixnak a Kasperskytől
- Az e-mail férgek lassan eltűnnek és átadják helyüket a hálózati férgeknek
- Cabir vírus által fertőzött mobilok már Oroszországban is
- December a magyar Zafi-variánsok hónapja volt
- Kaspersky Anti-Virus: független tesztek igazolják