A vállalat
honlapjait órákon
át nem lehetett elérni,
teljesen lebénultak. A támadás
olyan elsöprő
erejű volt, hogy sem az SCO lapok előtt
sem azok mellett nem volt olyan honlat, mely képes
lett volna akadályozni, vagy legalább
enyhíteni a támadást.
Ma, vasárnap egész
nap az „ígéret”
szerint elkezdődött
a támadás. Lassan minden
Mydoom által megfertőzött
gép el kezdett kéréseket
küldeni az SCO lapjához.
Így a lap össztűzbe
került. A támadás
az első óráikban
a Hálózat csak lassult, még
elérhetőek voltak a
honlapok. Utána erősödött
a támadás, a kérések
frekvenciája –
melyet előre jeleztek a féreg
kódjában –
1024 csomag/millisecundum. Ezután érezhetően
lassult a hálózat,
a lapok elérése
akadozott. Először
a www.sco.com, majd az ftp.sco.com vált
elérhetetlenné, ugyanúgy,
mint az azonos IP című www.caldera.com és
ftp.caldera.com.
Az SCO csoport megerősítette
a támadás tényét,
illetve a következményekét.
Elmondásuk szerint már
szombaton érezhető
volt néhány
szórványos kis erejű
DDoS támadás,
ami vasárnapra felerősödött.
Az SCO konszern első számú
Informatikai, Technikai és Infrastruktúra
igazgatója Jeff Carlon nyilatkozott.
„Remélem,
hogy a támadások
befejeződnek, de a cégnek
úgy kell a védekezési
stratégiát
kidolgozni, hogy képes legyen egy
hasonló erejű
DDoS-nak is ellenállni. Hétfőn
a munkánk ezzel kezdődik.
Nem szeretnénk, ha ismét
elérhetetlenné válna
a honlapunk, és azt sem hogy ekkora következményes
káraink legyenek.”
A támadás
adatai meghökkentőek:
az Angol MessageLabs önmaga „csak”
14 millió férget
tartalmazó fertőzött
levelet blokkolt le. A kérések
a lapra több tízezer
gépről
érkeztek egyszerre. A
frekvenciájuk maximuma 1024kérés/millisec.
volt. Két .htm (SCO,
Caldera) vált elérhetetlenné,
majd a két cégnek
az ftp. szerverei. E mellett kisebb szerverek elérhetősége
változott, ingadozott.
Az eddig becsült kár
39 milliárd dollár.
Ezek érzékeltetik
a támadás
erejét, az említett
iszonyú kérési
frekvencia mellett. A Mydoom.A után
észlelték
variánsát,
a B változatot. Ez a
Microsoft ellen indított kisebb DDoS támadást,
de jelentősen nem lehetett észrevenni
– igaz, hogy az a támadás
február 03-án
várható.
Elméletileg
az B-változat sokkal nagyobb területet
foglal el a hálózatból,
több gépet a csatlakozott
PC-k közül.
A sebessége mindennek nem éri
el – ez érezhető
is – az A variánsét.
A Mydoom.B a fertőzés
után aktiválódik.
A fertőzés
levelekkel történik,
de jelentős szerepe van a megosztott hálózatoknak
is. A fertőzés
első szakaszában a féreg
felderíti, azokat a gépeket,
melyeket az A variáns már
megfertőzött,
hátrahagyva a két
nyitott portot, a két hátsó
ajtót (backdoor). Ha ilyen gépet
talál a backdooron át
kapcsolódik hozzá,
és fertőzi meg azt, majd az
első indításkor
aktiválódik,
és keresi az újabb gépeket,
egyre szélesebb körben
A fertőzés
után megváltoztatja a gépek
hostját, és
az IP-jét. Készítve
elő a MS elleni támadást.
A vírus
szakértők
időközben keresték
az A verzió szédületes
terjedésének
az okát. Elméleteik
szerint mindez nem a levelekben, hanem az IRC szerverekben rejlik. Nagy valószínűséggel
a start úgy kezdődött,
hogy az IRC szerver BOT -jai segítségével
hallatlan gyorsasággal
terjedtek, és fertőzték
meg ezer számra a gépeket.
Ma ezt tartják
a Mydoom fertőzés
első fázisának.
A DDoS támadások
gyakorlatilag némi hálózati
lassuláson túl
nem jelentenek veszélyt a személyi
számítógépekre.
Azoknál sokkal nagyobb veszélyforrás
van. Az előző
írásaimban említett
két portot nyitja ki a féreg,
és használja hátsó
ajtónak. A gép elhagyása
után természetesen nem zárja
azt. A felhasználók
gépe így tudtukon kívül
nyitott lesz a hálózat
felé. A szolgáltatók
több helyen figyelmeztetik erre felhasználóikat,
de mivel a „védekezésben
a leggyengébb láncszem
az ember” elfelejthetik azt.
Ezzel veszélyeztetik
rendszereiket, tárt karokkal várják
a rossz szándékú
behatolókat. E mellett egy sokkal
komolyabb veszély forrásai
lehetnek. A nyitott rendszerek mindig alkalmasak spammek küldésére.
'gy a spammereknek csak a fertőzött
gépet kell keresni, hogy elinduljon végeláthatatlan
levéláradatuk. Ennek veszélyét
kevesen értik meg, mert még
nem vesznek észre levelezésükben
semmit.
Egy kis számolás
engedtessék meg: a Mydoom wormok a hálózat
forgalmának, levélforgalmának
mintegy 40% -át
generálták.
Ezt még alig lehetett észrevenni.
De a nyitott gépek spam forrásként
való felhasználása
ennél sokkal nagyobb forgalmat generálhat.
Ezért kell a fertőzött
rendszert javítani. Ha a forgalom tendenciája
nem csökken, akkor elképzelhető
igen könnyen, hogy a nagyon közeli jövőben
a hasznos információcsere
lehetetlen lesz lebénul attól
a „szeméttől”
ami a hálózatra
kerül.
A Mydoom írójának
„értéke is növekedett”,
ma 500.000$ - ra e,emelték fel azt. Annyi
biztos, hogy orosz területről
származik, de eddig
semmi olyan jelet nem találtak,
ami az írója
nemzetiségére,
kilétére utalna.
Az biztos, hogy a hálózatról
a féreg nem tűnik el, nem tűnt
el egyik sem. Aktivitását
elvileg febr.. 12-én beszünteti,
tehát a „levél
féregtől”
tartani nem kell. Az a féreg
a fertőzött
rendszerben kárt nem tett, rutinjában
olyan nem volt, ami miatt állományokat
törölt volna, működésképtelenné
tette volna a rendszert. Nem lehet eleget hangsúlyozni
a hátsó ajtók
veszélyét,
mert ennél ártalmasabb
funkciót –
egy gépnél,
mely a hálózatra
csatlakozott elképzelni nehéz.
A féreg eltávolítható,
de ezek zárása
közös felelőssége
a felhasználónak,
és a szolgáltatónak.
Vannak eltávolító
programok, (Removal Tool) melyek a gépekről
eltávolítják
a férgeket. Csaknem minden jelentős
vírusirtókat gyártó
cég lapjáról
letölthetők.
Röviden
csak annyit jegyeznék
meg: a vírusírók
leleményessége
nem ismer határokat. Jelen esetben a „megszokott”
kódolás helyett bináris
kódokat, ill.. Unicode karaktereket alkalmaztak. Tömörítés
.zip volt. Ez megtévesztette a felhasználót,
és megnyitotta azt –
elindítva a fertőzést.
A hálózatra csatlakozva
felelősséget
is jelent, felelősséget
is vállalunk: részben
magunkért, részben
a közösségért.
Az ilyen váratlan esemény
úgy előzhető
meg, ha mindenki megfelelően védi
a gépét, rendszerét,
követi a vírus jelzéseket.
Az nem védelem, hogy van egy vírusirtó,
esetleg tűzfal, és
spyware. Ha azokat nem ellenőrzik,
frissítik –
csak helyet foglal gépükön,
mert funkcióját
ellátni nem tudja. Nagyon nehéz
lesz eljutni addig, hogy az embert ne a védekezés
leggyengébb pontjának
tartsák, de közös
érdekünk arra törekedni,
hogy ellenkezőjét
bizonyítsuk.
Special Disinfection Tool
F-Secure has developed a special disinfection tool for this
worm.
The tool will detect and remove an active Mydoom infection
from the computer.
The Mydoom removal tool can be downloaded in a ZIP file
from:
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.zip
http://www.f-secure.com/tools/f-mydoom.zip
The unpacked version is available from:
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.exe
http://www.f-secure.com/tools/f-mydoom.exe
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.txt
http://www.f-secure.com/tools/f-mydoom.txt
System administrators who are using F-Secure Policy Manager,
can distribute the tool as a JAR package automatically to
all workstations.
System administrators can download the JAR version from:
http://www.f-secure.com/tools/f-mydoom.jar
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.jar
Manual Disinfection
Manual disinfection of Mydoom consists of the following
steps:
1, Delete the registry value and restart the computer:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon]
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]
2, Delete the worm from the Windows System Directory:
%SysDir%\taskmon.exe
and its backdoor component from:
%SysDir%\shimgapi.dll
