Mydoom.B: hiba, vagy valami más...

Geza Papp, 2004. február 6. 15:59
Ha a féreg felbukkanása előtt leírja vagy kimondja valaki, hogy Doom - az emberek többségének, aki hallott a számítógépes játékokról, mi jut eszébe: DOOM. Igen, a hatalmas szenzációt keltő, "már-már jelenséggé" vált játék sok másik alapja vagy forrása. A játék, amit folyamatosan fejlesztettek, látványosabbá tettek, a játék, ami már megjelenésekor "kinőtte" az elterjedt rendszereket - nagyobb erőforrást igényelt. Addig nem látott grafikáján túl a "Doom jelenség" azonban, lecsupaszítva a külsőségektől, egy szóval is jellemezhető: "agresszió". Azzal a szóval, ami a január 26. (27.) és 28-án felbukkant két féregnek, a Mydoom.A-nak és Mydoom.B-nek is egyik alapvető tulajdonságait is meghatározó jelzője lehet.
A "doom" jelenése ítélet, balsors, végzet. Nem valószínű, hogy a vírusíró ezt a nevet véletlenül választotta "termékének", ami átvitt értelemben (sajnos a következményeket ismerve konkrét értelmében is) az ő ítélete felettünk, okozhatja balsorsunkat, esetleg végzetünket. A Mydoom féreg két variánsa már megjelenésekor "felkavarta az állóvizet", a vírusokkal foglalkozó szakemberek érdeklődését felkeltve. Ugyanez mondható el a Mydoom.A február 1-jén kezdődő támadásának is az SCO, Caldera ellen, mely elsöprő erejű volt. Miután a féreg írója betartotta óraműpontossággal üzenetét a támadásról, még több szakember figyelme fordult az ígért Microsoft-lapok és a biztonsági lapok elleni támadás felé.

Természetesen a nagy, szakmai levelezőlisták témája is főleg ez volt. Az "infosecurity" listák, a "disclosure" hozzászólásai is ezzel foglalkoztak. Érdemes néhány gondolatot idézni ezekből a levelekből:

"Van egy bit - ami szabályozhatja a világunkat" - ezzel az igen találó mondattal kezdem, mert ez már részint utal az író személyiségére - a hatalomvágyra, mely megállíthatatlan szerinte.

Kicsit késve szálltam be ebbe a "játékba", de kérem, az új információkat küldjétek el - kezdte valaki a listán, szokatlan jelzővel illetve a jelenséget.

"A MyDoom szerző előny lesz a biztonsági társaságoknak, amelyik a vírusirtással foglalkozik - és a támadások elhárításával. Vagy talán már az is... Én a vírusíró helyében nem kockáztatnék - kellő felmérés és analízis után felhasználnám a csaknem 1 milliárd rádiótelefont... Ez egy valóban kreatív újítás lenne - kihasználni azt, amit mások nem tettek, kihasználni az ismeretlent."

"A legnagyobb haszna a crackereknek, blackhat hackereknek van, a nyitott rendszerek miatt. Gyakorlatilag azt tesznek, amit akarnak a fertőzött gépekkel. Ilyenkor csak arra gondolhatnak, hogy ennél nagyobb biztonságban még nem voltak - ténykedésük közben."

"Úgy tűnik, hogy az igen gyors terjedése, az, hogy UTC szerint a világ több pontján bukkant fel - az írója késleltetni akarta az analizálást, legalább 12-18 órát, amíg gyakorlatilag elterjedt. Nem sikerült szerencsére."

http://www.pcwelt.de/news/viren_bugs/37278/4.html


"Szerencsére korán észlelték, a VirusBuster a dll.-t, az exe-t is éjfél után 5 perccel. Így az adatbázisba csaknem mindenhol bekerült."

A Reuters 2004. február 4-én írt a "mydoom" jelenségről. A nyilatkozóktól a véleményüket kérték az elmúlt napokról, és elképzelésüket a továbbiakkal kapcsolatban.

A Mydoom "sikere" után a vírusírók célpontjai nagy cégek honlapjai és szerintem politikával kapcsolatos lapok lesznek - mondta egy biztonsági szakértő. Hozzátéve, hogy az e-mail vírusok, mint a MyDoom a jövő fegyvere, mivel az ilyen gyorsan terjedő féreg nagyon hatékony és "pontos", ami miatt lapok ezreit képes fenyegetni.

Az SCO lapja is azért omlott össze a Calderáéval együtt, mert a támadás előtt több tízezer gép fertőződött meg, melyekről indult a MyDoom támadása.

Ez hihetetlen hatékonyságú, főleg, mert "fertőzött, DDoS támadásra felkészített" számítógépek hadseregével állunk szemben. A célt nem egy gép, egy "hadsereg bombázza kérésekkel". Ne feledkezzünk meg arról sem, hogy a gépeknek nincs erőforrásigényük, saját erőforrást használnak - nyilatkozta a finn F-Secure cég szakértője. Hozzátette, hogy minden erejükkel támogatják, hogy ilyen esetben "cyber-bűnügyi" vizsgálat, eljárás induljon a tettesek ellen.

"Minimális, néhány byt a méretük, és elegendőek ahhoz, hogy átvegyék weblapjaid listáját - amiről másnap kiderül, hogy már nincsenek" - nyilatkozta szkeptikusan a Reuters hírügynökségnek egy telefoninterjúban Mikko Hypponen, az F-Secure vírusszakértőként is elismert igazgatója. - "A hálózaton ilyen támadást nem láttam még, sokkal nagyobb volt minden eddiginél. Ekkora erővel nem egy, hanem ezer nagy weblapot is lehetetlenné tudnak tenni."

Az elmúlt három évben sorozatban találkozunk olyan féregtámadással, melyek vagy politikai "üzenetek" - vagy zsarolások: pl. A gambling Caribbean, pakisztáni minisztériumok lapjaira gondolok. Ezek a DoS támadások egyre inkább bűncselekmények lesznek.

Nézzük a Mydoomot: a múlt héten ez a potenciálisan spamforrás egy fertőzött levéllel került a hálózatra, mint a levél melléklete. Gondoltak arra a tömörítés és a levelek tartalma alapján, hogy megnyitják azokat, és megfertőzve saját gépüket az SCO elleni támadás részese lesz az. Amikor aktiválódik, a hatása olyan, mint más féregé, de gyorsan terjedve képes volt arra, hogy minimális idő alatt tönkretegye az SCO lapját.

"Ez megmutatta, hogy kik a 'bad boy's' az igazi 'vírusíró gonosz fiúk' ... és aki hasonlót követ el, közéjük való" - mondta Hypponen. Hozzátette azt is, hogy közben a féreg néhány kisebb cég lapját is tönkretette. Hypponen véleménye az, hogy a felhasználók letöltései miatt eleve terhelt Microsoft-honlap, bármilyen szilárd talapzaton van, még ennél kisebb erejű támadást sem bír ki. Kifejtette továbbá, hogy lehetnek olyan elrejtett kódok, melyek egy későbbi vírus fertőzése miatt nyitnak hátsó ajtót. A számítástechnikában egy ilyen back doort többféleképpen ki lehet használni, a legrosszabb a spammer lehetőség emiatt."

Hypponen kifejtette, hogy ezentúl több energiát fordítanak a megelőzésre. Ha másként nem megy, víruspajzsokkal védik meg a lapokat. Ez oda vezet, hogy speciális biztonsági cégek alakulnak, melyek képesek lehetnek megvédeni - nem ingyen - egy web hostingot. Annak pedig szüksége van a védelemre, mert jövedelme a lapokból származik, melyeket bizalommal ott helyeztek el.

Hypponen úr szerint igaz, hogy a vírusokat elrejtik, tömörített állományban terjednek, de a felhasználó - űzve a kíváncsiságtól - megnyitja azokat, és fertőzi meg ezzel gépét, környezetét.

megj.: Mikko Hypponennel nem egy levélváltásom volt. Mint ember, és mint szakember kiváló. A levelek hangulata jó volt. Ezért meglepődtem a következő kijelentésén, ami mutatja elkeseredettségét, "tehetetlenségét".

"A hitem, ami az oktatásban volt, elvesztettem... Hiába küszködök, küszködünk, az emberek semmit nem tanulnak az óvatosságról - még egy ilyen eset után sem. Mindenre ráklikkelnek, hiába figyelmeztetjük őket."

"A jövőt talán azok a kezdeményezések jelentik, melyek lehetővé teszik a távoli antivírusprogram-adminisztrációt."

Reuters - 2004. február 4.

A Mydoom.B alig van valamilyen káros hatással a Microsoft-lapokra, annak ellenére, hogy kódjuk azok floodolását, megtámadását tartalmazza. Kedden volt egy támadáskezdeményezés a Microsoft-lapok ellen az internetügyelet szerint, amit nem tartottak jelentősnek.

Ez a féreg kisebb területen terjedt, mint az eredeti MyDoom kód, de ismereteink szerint a "feladata is más" - megpróbálja összekötni az Microsoft lapjait az otthoni gépekkel a back door alkalmazásával - 10 alkalommal három másodpercig. Így is a keddi SCO elleni támadás erejének mintegy 20%-át jelentené, de ez lecsökken a felére, 10%-ra - mondta Ken Godskind, az AlertSite társaság marketingelnöke.

A MyDoom az első változata a múlt héten e-mailen terjedt igen gyorsan, a levél mellékleteként. Mindig akadt egy elővigyázatlan felhasználó, aki ráklikkelt. A számítások szerint kb. 2 millió PC fertőződött így meg. Az eredeti féreg, a Mydoom.A programja arra irányult, hogy az SCO csoportlapjait támadja meg. A következő variáns, a Mydoom.B programja szerint a Microsoft-lapokat kellett volna kedden megtámadni, és mint kiderült, a támadást március 1-jéig folytatni különféle intenzitással - természetesen a támadások, a flood jellegét tekintve azt nem kizárólag a féreg hajtja végre, hanem a fertőzött gépeken "hagyott spamming fegyverei."

Itt némi magyarázattal tartozunk: az első elemzések szerint a féreg február 12-én hagyta volna abba támadásait. Más egyéb programhiba mellett a kikapcsolás időzítése sem lett jól beállítva - tehát a féreg március 1-jéig aktív.

Az SCO ellen szombaton a MyDoom eredeti, első verziója által megfertőzött gépekről indult a támadás, pontosan a tervezett időben, UTC 8:09. Néhány szórványos kérés érkezett előtte is, a gépek rosszul beállított rendszerideje miatt. Vasárnap gyakorlatilag elérhetetlen lett az SCO DNS (névszervere)

A Microsoft arányaiban enyhébb támadása több okkal magyarázható - de a legésszerűbb, hogy a B variáns programja hibás, terjed ugyan a tervek szerint, de nem tudja "felváltani" elődjét, kihasználni annak használható back doorjait. Éppen a hiba miatt összesen mintegy 7% lesz aktív.

A Microsoftot a "biztonság kedvéért" megtévesztendő a féreg 65 "álweboldalt" "generál". A DNS megegyezik a Microsoft lapjával, éppen emiatt azt elzárja a férgek elől. Ha olyan felhasználó van, akinek fertőzött a gépe, ő is csak közvetve jut frissítéshez a valódi lapról.

A Microsoft és az SCO felajánlott külön-külön 250 000 dollár jutalmat a vírusíró nyomravezetőinek. CNET Hírmagazin - Robert Lemos - 2004. február 4.

Érdekes vélemények voltak a két cikkben, de értékesebb információkhoz is jutottunk. A legfontosabb információ, hogy a féreg több hibát tartalmaz. Hibás a B. verzió időzítése; hibás az a programrész, mely azt segítette volna elő, hogy a B variáns a terjedése mellett mintegy "lecserélje" az A variánst, kihasználva minden hibát (backdoor), melyet az A épített ki a gépeken. Nagyon fontos és tanulságos Hypponen véleménye, mely elkeseredett, de szerencsére elkeseredettsége további rendszervédelmi változásokban nyilvánul majd meg. Mindenképpen pártolja a központi menedzselésű víruskeresőket (kiváló példa a NOD32 központi adminisztrációt végző terméke) - a jövőt én is ebben látom, a komplex, akár szolgáltatótól is független hálózatvédelmet, beleértve spameket, spywareket stb. Ken Godskind kissé kételkedően szólt az eseményekhez: Úgy érzem, az olvasott vélemények megalapozottak - de hogy mi az igazság...?

Egyben egyetért mindenki, és ezt Hypponen fogalmazta meg a legélesebben: mindennek főként mi vagyunk az okai, kíváncsiságunk, naivitásunk. Ez küszöbölhető talán ki központi menedzseléssel. Végül, de nem utolsósorban nem feledhetjük az ismeretlen féregírót, aki programjával ítélkezik (ez látatlanban is subparanoid személyiséget feltételez, de jelleme kevert, mert ha tisztán az előző lenne, a hibákat kiküszöbölte volna). "Mydoom.B: hiba, vagy valami más..." kezdtem, és úgy érzem a Mydoom történetének egy fejezete lezárult, várjuk a következőt, nem várjuk a hasonló férgeket, de azért gondoljunk az örök igazságra: Theatrummundi.
Kulcsszavak: security vírus SCO

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01