Duts, az új mobilvírus

Geza Papp, 2004. július 19. 08:00
Duts-bemutató - azaz a Windows Mobil vírus ma már valóság - jelentette be a Kaspersky Labs a Microsoft mobil operációs rendszer, a Windows CE .NET. első vírusának észlelését.
Az operációs rendszer PocketPC-ken és néhány fajta smartphon rendszerén fut. A Win.CE.Duts.a egy klasszikus élősködő vírus mérete 1520 byt. A mobilberendezéseken, a PocketPC-ken és a smartphonokon küldött e-mailben terjed elsősorban - elődjéhez hasonlóan "fizikai kapcsolat nélkül", de még...

terjedhet az interneten, a cserélhető flashmemória-kártyán (mint az mmc és a memory stick duo), PC-szinkronizáción is, emellett - sajnos - képes a terjedéshez kihasználni a Bluetooth technológiát. A már leírt párbeszédpanel megjelenik, amikor a gépre jut, és ha igen, választ ad a felhasználó, a Duts behatol a My Device (gyökérkönyvtár) mindent 4 kb-nál nagyobb méretű futtatható állományába. A fertőzés végén a vírus egy állomány végére írja kódját, és megváltoztatja belépési pontját. Emellett a fertőzött fájlokban lévő "empty header" üres területét megjelöli "atar" szöveggel, ezzel megelőzi a felesleges újrafertőzést. A Duts, bár kritériumai alapján (fertőz, terjed, szaporodik stb...) valódi vírus, de semmilyen rendszerre ártalmas kódot nem tartalmaz.

A nyár hagyományosan a vírusjárványok ideje: múlt évben egyaránt stresszelte a nyáron írt Lovesan, Sobig és Loveletter mind a felhasználókat, mind a biztonsági szakembereket.

A vírusírók egy csoportja a rosszindulatú kódjaival bebizonyította hogy a "megfertőzhetetlen rendszer elmélet" nem igaz. 2004, úgy néz ki, a "meglepetések nyarát" hozza a vírusok terén: "kísérleti" malware-eket, kódokat arra, hogy a "lehetetlennek hitt fogalmak" megváltozzanak. Ezt eddig is olyan (bizonyító hatású) "proof-of -concept" vírusokkal tették, mint az első mobiltelefon-vírus, a Cabir, az első 64 bites rendszerekre ártalmas Rugrat - melyeket úgy néz ki, nem "széles körű" károkozás miatt írtak, hanem az volt a cél, hogy megmutassák, hogy az új operációs rendszerek, technológiák éppoly fertőzhetőek, mint más rendszerek.

Az a meglátásom, hogy az "Apranet"-korszak elveit valló "utolsó lovagrendek" is lassan megszűnnek mind a hackerek, mind a vírusírók körében. Ekkor még az volt sokuknak a célja, hogy károkozás nélkül megmutassák a "maguk módján" a különböző rendszerek sérülékeny pontjait, fertőzés veszélyeit. Mi igen sajnálatos módon helyüket egyre inkább átveszi a kihasználható, sok esetben államilag dotált információszerzés, kémkedés, haszonszerzés. Egyik ilyen "utolsó lovagrendnek" tartom a nemzetközi 29A vírusíró csoportot, akik az eddig említett vírusokat megírták "proof-of-concept" kódok írására specializálódtak. Nem feledve azt, hogy a hálózatra jutó minden vírus káros - hozzá kell tenni azt, hogy "termékeikben" nem volt olyan kód, mely a megfertőzött rendszert tönkretette volna.

A legutolsó ilyen vírus program a Win.CE.Duts.a, mely az eddig vírusoktól érintetlen Windows CE NET operációrációs rendszert használó eszközöket fertőz meg. Az említett Mobil Windows rendszer a PocketPC -ken és néhány smartphonon fut. A vírus fertőzés előtt még "illedelmesen engedélyt is kér" - "Dear User, am I allowed to spread?" (Kedves felhasználó, engedélyezi elterjedésemet?). A fertőzés akkor kezdődik, ha a kérdésre igennel válaszolnak (általában sajnos). Ekkor a vírus megfertőzi a rendszer, a Pocket PC (My Device) gyökérkönyvtárának PE (.exe) állományait - kódja olyan utasítást, mely a rendszer "rombolását" célozná meg nem tartalmaz, de egyéb károsat sem.

Win.CE.Duts.a valószínűtlen, hogy a hálózaton ItW megtalálható. Szerzője a 29A csoport tagja, álneve az interneten "Rotter". A Duts a megjelenése, megírása figyelmeztetés is egyben, egy vészharang, ami azt jelzi, hogy a technológia és operációs rendszerek igen gyors fejlődésének minden lépését igen gyorsan követik a "rosszindulatú" kódok is.

"A Duts egy "proof-of-concept" rosszindulatú program, mely jelzi, és bemutatja azt, hogy Windows Mobil is ki vannak téve a vírusfertőzésnek - az elvégzett tesztek szerint a kód a megfelelő környezetben igen hatékonyan "szaporodik" - mondta Eugene Kaspersky, Head of Anti-Virus Research at Kaspersky Labs - Nem számítunk tömeges fertőzésre - hiszen a kód jelzi "fertőzési szándékát a felhasználónak."

"A múlt hónap az eseményei igazán zavarnak. A számítógép underground megragadta új lehetőségként a mobil berendezéseket. Mág most nem lehet tudni, hogy mikor írnak olyan kódot, ami ártalmas utasításokat tartalmaz, amik mobil eszközökön terjednek. Ezek globális kitörése, fertőzése sajnos egyre közelebb, és közelebb van" -v összegezte Eugene Kaspersky.

G. Papp dr
Networksecurity and Virusanalyst
Kulcsszavak: vírus mobil

Biztonság ROVAT TOVÁBBI HÍREI

Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

2024. november 22. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Idén is keresi a digitális szakma női példaképeit az IVSZ és a WiTH

2024. november 22. 16:40

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36