Duts, az új mobilvírus
Geza Papp, 2004. július 19. 08:00
Duts-bemutató - azaz a Windows Mobil vírus ma már valóság - jelentette
be a Kaspersky Labs a Microsoft mobil operációs rendszer, a Windows CE
.NET. első vírusának észlelését.
Az operációs rendszer PocketPC-ken és néhány fajta smartphon rendszerén fut. A Win.CE.Duts.a egy klasszikus élősködő vírus mérete 1520 byt. A mobilberendezéseken, a PocketPC-ken és a smartphonokon küldött e-mailben terjed elsősorban - elődjéhez hasonlóan "fizikai kapcsolat nélkül", de még...
terjedhet az interneten, a cserélhető flashmemória-kártyán (mint az mmc és a memory stick duo), PC-szinkronizáción is, emellett - sajnos - képes a terjedéshez kihasználni a Bluetooth technológiát. A már leírt párbeszédpanel megjelenik, amikor a gépre jut, és ha igen, választ ad a felhasználó, a Duts behatol a My Device (gyökérkönyvtár) mindent 4 kb-nál nagyobb méretű futtatható állományába. A fertőzés végén a vírus egy állomány végére írja kódját, és megváltoztatja belépési pontját. Emellett a fertőzött fájlokban lévő "empty header" üres területét megjelöli "atar" szöveggel, ezzel megelőzi a felesleges újrafertőzést. A Duts, bár kritériumai alapján (fertőz, terjed, szaporodik stb...) valódi vírus, de semmilyen rendszerre ártalmas kódot nem tartalmaz.
A nyár hagyományosan a vírusjárványok ideje: múlt évben egyaránt stresszelte a nyáron írt Lovesan, Sobig és Loveletter mind a felhasználókat, mind a biztonsági szakembereket.
A vírusírók egy csoportja a rosszindulatú kódjaival bebizonyította hogy a "megfertőzhetetlen rendszer elmélet" nem igaz. 2004, úgy néz ki, a "meglepetések nyarát" hozza a vírusok terén: "kísérleti" malware-eket, kódokat arra, hogy a "lehetetlennek hitt fogalmak" megváltozzanak. Ezt eddig is olyan (bizonyító hatású) "proof-of -concept" vírusokkal tették, mint az első mobiltelefon-vírus, a Cabir, az első 64 bites rendszerekre ártalmas Rugrat - melyeket úgy néz ki, nem "széles körű" károkozás miatt írtak, hanem az volt a cél, hogy megmutassák, hogy az új operációs rendszerek, technológiák éppoly fertőzhetőek, mint más rendszerek.
Az a meglátásom, hogy az "Apranet"-korszak elveit valló "utolsó lovagrendek" is lassan megszűnnek mind a hackerek, mind a vírusírók körében. Ekkor még az volt sokuknak a célja, hogy károkozás nélkül megmutassák a "maguk módján" a különböző rendszerek sérülékeny pontjait, fertőzés veszélyeit. Mi igen sajnálatos módon helyüket egyre inkább átveszi a kihasználható, sok esetben államilag dotált információszerzés, kémkedés, haszonszerzés. Egyik ilyen "utolsó lovagrendnek" tartom a nemzetközi 29A vírusíró csoportot, akik az eddig említett vírusokat megírták "proof-of-concept" kódok írására specializálódtak. Nem feledve azt, hogy a hálózatra jutó minden vírus káros - hozzá kell tenni azt, hogy "termékeikben" nem volt olyan kód, mely a megfertőzött rendszert tönkretette volna.
A legutolsó ilyen vírus program a Win.CE.Duts.a, mely az eddig vírusoktól érintetlen Windows CE NET operációrációs rendszert használó eszközöket fertőz meg. Az említett Mobil Windows rendszer a PocketPC -ken és néhány smartphonon fut. A vírus fertőzés előtt még "illedelmesen engedélyt is kér" - "Dear User, am I allowed to spread?" (Kedves felhasználó, engedélyezi elterjedésemet?). A fertőzés akkor kezdődik, ha a kérdésre igennel válaszolnak (általában sajnos). Ekkor a vírus megfertőzi a rendszer, a Pocket PC (My Device) gyökérkönyvtárának PE (.exe) állományait - kódja olyan utasítást, mely a rendszer "rombolását" célozná meg nem tartalmaz, de egyéb károsat sem.
Win.CE.Duts.a valószínűtlen, hogy a hálózaton ItW megtalálható. Szerzője a 29A csoport tagja, álneve az interneten "Rotter". A Duts a megjelenése, megírása figyelmeztetés is egyben, egy vészharang, ami azt jelzi, hogy a technológia és operációs rendszerek igen gyors fejlődésének minden lépését igen gyorsan követik a "rosszindulatú" kódok is.
"A Duts egy "proof-of-concept" rosszindulatú program, mely jelzi, és bemutatja azt, hogy Windows Mobil is ki vannak téve a vírusfertőzésnek - az elvégzett tesztek szerint a kód a megfelelő környezetben igen hatékonyan "szaporodik" - mondta Eugene Kaspersky, Head of Anti-Virus Research at Kaspersky Labs - Nem számítunk tömeges fertőzésre - hiszen a kód jelzi "fertőzési szándékát a felhasználónak."
"A múlt hónap az eseményei igazán zavarnak. A számítógép underground megragadta új lehetőségként a mobil berendezéseket. Mág most nem lehet tudni, hogy mikor írnak olyan kódot, ami ártalmas utasításokat tartalmaz, amik mobil eszközökön terjednek. Ezek globális kitörése, fertőzése sajnos egyre közelebb, és közelebb van" -v összegezte Eugene Kaspersky.
terjedhet az interneten, a cserélhető flashmemória-kártyán (mint az mmc és a memory stick duo), PC-szinkronizáción is, emellett - sajnos - képes a terjedéshez kihasználni a Bluetooth technológiát. A már leírt párbeszédpanel megjelenik, amikor a gépre jut, és ha igen, választ ad a felhasználó, a Duts behatol a My Device (gyökérkönyvtár) mindent 4 kb-nál nagyobb méretű futtatható állományába. A fertőzés végén a vírus egy állomány végére írja kódját, és megváltoztatja belépési pontját. Emellett a fertőzött fájlokban lévő "empty header" üres területét megjelöli "atar" szöveggel, ezzel megelőzi a felesleges újrafertőzést. A Duts, bár kritériumai alapján (fertőz, terjed, szaporodik stb...) valódi vírus, de semmilyen rendszerre ártalmas kódot nem tartalmaz.
A nyár hagyományosan a vírusjárványok ideje: múlt évben egyaránt stresszelte a nyáron írt Lovesan, Sobig és Loveletter mind a felhasználókat, mind a biztonsági szakembereket.
A vírusírók egy csoportja a rosszindulatú kódjaival bebizonyította hogy a "megfertőzhetetlen rendszer elmélet" nem igaz. 2004, úgy néz ki, a "meglepetések nyarát" hozza a vírusok terén: "kísérleti" malware-eket, kódokat arra, hogy a "lehetetlennek hitt fogalmak" megváltozzanak. Ezt eddig is olyan (bizonyító hatású) "proof-of -concept" vírusokkal tették, mint az első mobiltelefon-vírus, a Cabir, az első 64 bites rendszerekre ártalmas Rugrat - melyeket úgy néz ki, nem "széles körű" károkozás miatt írtak, hanem az volt a cél, hogy megmutassák, hogy az új operációs rendszerek, technológiák éppoly fertőzhetőek, mint más rendszerek.
Az a meglátásom, hogy az "Apranet"-korszak elveit valló "utolsó lovagrendek" is lassan megszűnnek mind a hackerek, mind a vírusírók körében. Ekkor még az volt sokuknak a célja, hogy károkozás nélkül megmutassák a "maguk módján" a különböző rendszerek sérülékeny pontjait, fertőzés veszélyeit. Mi igen sajnálatos módon helyüket egyre inkább átveszi a kihasználható, sok esetben államilag dotált információszerzés, kémkedés, haszonszerzés. Egyik ilyen "utolsó lovagrendnek" tartom a nemzetközi 29A vírusíró csoportot, akik az eddig említett vírusokat megírták "proof-of-concept" kódok írására specializálódtak. Nem feledve azt, hogy a hálózatra jutó minden vírus káros - hozzá kell tenni azt, hogy "termékeikben" nem volt olyan kód, mely a megfertőzött rendszert tönkretette volna.
A legutolsó ilyen vírus program a Win.CE.Duts.a, mely az eddig vírusoktól érintetlen Windows CE NET operációrációs rendszert használó eszközöket fertőz meg. Az említett Mobil Windows rendszer a PocketPC -ken és néhány smartphonon fut. A vírus fertőzés előtt még "illedelmesen engedélyt is kér" - "Dear User, am I allowed to spread?" (Kedves felhasználó, engedélyezi elterjedésemet?). A fertőzés akkor kezdődik, ha a kérdésre igennel válaszolnak (általában sajnos). Ekkor a vírus megfertőzi a rendszer, a Pocket PC (My Device) gyökérkönyvtárának PE (.exe) állományait - kódja olyan utasítást, mely a rendszer "rombolását" célozná meg nem tartalmaz, de egyéb károsat sem.
Win.CE.Duts.a valószínűtlen, hogy a hálózaton ItW megtalálható. Szerzője a 29A csoport tagja, álneve az interneten "Rotter". A Duts a megjelenése, megírása figyelmeztetés is egyben, egy vészharang, ami azt jelzi, hogy a technológia és operációs rendszerek igen gyors fejlődésének minden lépését igen gyorsan követik a "rosszindulatú" kódok is.
"A Duts egy "proof-of-concept" rosszindulatú program, mely jelzi, és bemutatja azt, hogy Windows Mobil is ki vannak téve a vírusfertőzésnek - az elvégzett tesztek szerint a kód a megfelelő környezetben igen hatékonyan "szaporodik" - mondta Eugene Kaspersky, Head of Anti-Virus Research at Kaspersky Labs - Nem számítunk tömeges fertőzésre - hiszen a kód jelzi "fertőzési szándékát a felhasználónak."
"A múlt hónap az eseményei igazán zavarnak. A számítógép underground megragadta új lehetőségként a mobil berendezéseket. Mág most nem lehet tudni, hogy mikor írnak olyan kódot, ami ártalmas utasításokat tartalmaz, amik mobil eszközökön terjednek. Ezek globális kitörése, fertőzése sajnos egyre közelebb, és közelebb van" -v összegezte Eugene Kaspersky.
G. Papp dr
Networksecurity and Virusanalyst
Networksecurity and Virusanalyst
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 3GSM helyett Mobile World Show
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Piacvezető itthon a NOD32
Biztonság ROVAT TOVÁBBI HÍREI
Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra
Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.
2024. november 4. 13:17