Trend Micro júliusi vírustoplista
forrás Prim Online, 2004. augusztus 5. 11:00
Július érdekes hónapnak bizonyult, hiszen nemcsak az első, mobileszközöket támadó vírus, a WINCE_DUTS.A megjelenésének lehettünk tanúi, hanem a BAGLE és MYDOOM férgek újjáéledésének is - mindez a Trend Microt négy közepes szintű globális riasztás kiadására késztette (WORM_BAGLE.AD, WORM_BAGLE.AF, WORM_BAGLE.AH és WORM_MYDOOM.M.).
A fenti listáról látható, hogy a riasztások közül három a BAGLE variánsaihoz tartozott. Miért éledtek most újra? Gyanítható, hogy a NETSKY szerzőjének letartóztatása után tiszta a pálya a BAGLE féreg előtt (emlékszik a pár hónappal ezelőtti vírusháborúra?). Egy másik tényező, hogy a WORM_BAGLE.AD felfedte saját forráskódját, így a gyakorlott felhasználók erre a kódra alapozva létrehozhatják saját új variánsaikat, ha úgy tartja kedvük. Ez megmagyarázza a WORM_BAGLE.AF és WORM_BAGLE.AG variánsok megjelenését. A legújabb variánsok mindegyike nagymértékben alapoz az emberi hiszékenységre: a felhasználókkal elhiteti, hogy az e-mail megbízható forrásból jött, és a csatolt fájl megnyitására buzdítja őket. Még olyan WORM_BAGLE variánsok is léteznek, amelyek jelszóval védik a csatolt fájlt. A futtatáshoz egy jelszót kell megadni, amelyet az üzenet tartalmaz. Meglepő módon működik a dolog! Hány embert vezettek így félre? Rengeteget.
Ezek a WORM_BAGLE variánsok igyekeznek megakadályozni, hogy saját másolatukat elküldjék a főbb biztonsági szállítókhoz, így megpróbálják lelassítani a felismerést biztosító eszközök szállítását. Ez a művelet azonban nem sok hatással van a végeredményre, mivel a vírusvédelmi cégek nem postafiókjukba érkező mintákra építik tevékenységüket.
A vírusok szerzőjének üzenetei még mindig megtalálhatók a kódban. Ilyen üzenetek például:
- Bagle szerző, Németország
Ezek a BAGLE variánsok fájlmegosztó (P2P) hálózatokon is terjednek oly módon, hogy másolatukat elhelyezik az ilyen hálózatok által használt mappákba. Természetesen vonzó nevekkel vezetik félre a felhasználókat, akik azt hiszik, hogy filmeket, zenét vagy valami hasonlót töltenek le.
A legfrissebb WORM_BAGLE variánsok - elődeikhez hasonlóan - megpróbálják eltávolítani a WORM_NETSKY fertőzéseket (bizonyítva, hogy a "háború" még mindig tart), és megkísérlik a telepített biztonsági megoldások (például vírusvédelmi szoftverek) leállítását. Ez a működés kikövezi az utat a jövőbeli támadásokhoz, mivel a számítógép elveszíti védelmét. Valószínűleg ez a legnagyobb fenyegetés e variánsok részéről.
Néhány alapvető biztonsági házirend is elegendő e BAGLE variánsok terjedésének megakadályozásához. E férgek gyakran olyan fájlkiterjesztéseket használnak, amelyeket a hálózati felhasználók nem, tehát az ilyen csatolt fájlok blokkolásának beállításával megakadályozható a férgek bejutása a hálózatba. Az ilyen házirendet bevezető ügyfelektől pozitív visszajelzést kaptott a Trend Micro erről a megoldásról. Hasonló dolgok mondhatók el a WORM_MYDOOM.M féregről is.
Július 26-án a Trend Micro közepes szintű riasztást jelentett be a WORM_MYDOM.M féreg kapcsán. A korábbi variánsokhoz hasonlóan ez a féreg levelezési szolgáltatásokon keresztül terjed, e-mail üzenetekhez csatolva önmagát. A WORM_BAGLE kódhoz hasonlóan a hiszékenységre építve csapja be a felhasználókat. A legtöbb esetben levelezőrendszer hibáról szóló értesítésnek álcázza magát. A külső e-mail címét is álcázza, így úgy tűnhet, mintha az e-mail egy baráttól jönne.
A WORM_MYDOOM.M azonban egy új taktikát alkalmaz az e-mail címek megkeresésére, amelyet Jamz Yaneza, a TrendLabs központ egyik vezető tanácsadója ismertet:
A keresők listájának "célpont valószínűségszámító" eszközként történő használata kétségtelenül új módszer, és könnyen a szolgáltatás szünetelését vonhatja maga után a nagyszámú igény miatt. Nagyon valószínűtlennek tartom, hogy még 10 000 egyidejű kapcsolat esetén is komoly hatással lenne ez a jelenség a keresőkre, mivel e szolgáltatások üzemeltetése elosztott hálózatokon keresztül történik, és nyilvánosan elérhető a világ teljes számítástechnikai közössége számára (amely sokmillió számítógépet jelent). A szolgáltatások leállása vagy érhetőségének megszűnése sokkal inkább az internetszolgáltatóknak tudható be, és annak, hogy a hálózatok tűzfalai akadályozták az átvitelt, látszólagos kapcsolódásai problémákat okozva.
A vírusjelentések félreértése és a keresők listájának valószínű vírusforrásként történő megadása a tűzfalakon is hozzájárulhatott a keresőszolgáltatások elérhetetlenségéhez."
Az előző variánsokhoz hasonlóan, ez a féreg is hátsó ajtót nyit a számítógépen, amelyen keresztül hozzáférhetővé válik a rendszer. A számítógépet ezt követően a rosszindulatú támadó felhasználhatja más támadások kivitelezésére vagy külső fejlesztőktől származó eszközök telepítésére, melyek információt tulajdonítanak el a rendszerről (pl. jelszavakat, hitelkártya számokat).
Ez olyan jelenség, amellyel gyakran találkozunk. Egyre több trójai program és hátsó ajtó jelenik meg, különböző céllal. A cél lehet a támadás elrejtése sok számítógépre, sok számítógép felhasználása egy célpont támadására vagy jelszavak, hitelkártya számok, e-mail címek stb. eltulajdonítása. Az ilyen rosszindulatú kódok által nyitott hátsó ajtók az emberi és digitális rosszindulatú támadók számára is felhasználhatók.
A WORM_MYDOOM.M egy hátsó ajtót helyez el és telepít a fertőzött rendszerekre. Megjelent egy olyan rosszindulatú kód is, amely ezen a hátsó ajtón keresztül terjed - a WORM_ZINDOS.A. E féreg célja, hogy sok számítógép megfertőzésével túlterheléses támadást intézzen a http://www.microsoft.com webhely ellen.
Legyen elővigyázatos: nem a látható kód az igazi fenyegetés, hanem a rejtett, például a trójai programok és hátsó ajtók.
A fenti listáról látható, hogy a riasztások közül három a BAGLE variánsaihoz tartozott. Miért éledtek most újra? Gyanítható, hogy a NETSKY szerzőjének letartóztatása után tiszta a pálya a BAGLE féreg előtt (emlékszik a pár hónappal ezelőtti vírusháborúra?). Egy másik tényező, hogy a WORM_BAGLE.AD felfedte saját forráskódját, így a gyakorlott felhasználók erre a kódra alapozva létrehozhatják saját új variánsaikat, ha úgy tartja kedvük. Ez megmagyarázza a WORM_BAGLE.AF és WORM_BAGLE.AG variánsok megjelenését. A legújabb variánsok mindegyike nagymértékben alapoz az emberi hiszékenységre: a felhasználókkal elhiteti, hogy az e-mail megbízható forrásból jött, és a csatolt fájl megnyitására buzdítja őket. Még olyan WORM_BAGLE variánsok is léteznek, amelyek jelszóval védik a csatolt fájlt. A futtatáshoz egy jelszót kell megadni, amelyet az üzenet tartalmaz. Meglepő módon működik a dolog! Hány embert vezettek így félre? Rengeteget.
Ezek a WORM_BAGLE variánsok igyekeznek megakadályozni, hogy saját másolatukat elküldjék a főbb biztonsági szállítókhoz, így megpróbálják lelassítani a felismerést biztosító eszközök szállítását. Ez a művelet azonban nem sok hatással van a végeredményre, mivel a vírusvédelmi cégek nem postafiókjukba érkező mintákra építik tevékenységüket.
A vírusok szerzőjének üzenetei még mindig megtalálhatók a kódban. Ilyen üzenetek például:
In a difficult world
In a nameless time
I want to survive
So, you will be mine!!
In a nameless time
I want to survive
So, you will be mine!!
- Bagle szerző, Németország
Ezek a BAGLE variánsok fájlmegosztó (P2P) hálózatokon is terjednek oly módon, hogy másolatukat elhelyezik az ilyen hálózatok által használt mappákba. Természetesen vonzó nevekkel vezetik félre a felhasználókat, akik azt hiszik, hogy filmeket, zenét vagy valami hasonlót töltenek le.
A legfrissebb WORM_BAGLE variánsok - elődeikhez hasonlóan - megpróbálják eltávolítani a WORM_NETSKY fertőzéseket (bizonyítva, hogy a "háború" még mindig tart), és megkísérlik a telepített biztonsági megoldások (például vírusvédelmi szoftverek) leállítását. Ez a működés kikövezi az utat a jövőbeli támadásokhoz, mivel a számítógép elveszíti védelmét. Valószínűleg ez a legnagyobb fenyegetés e variánsok részéről.
Néhány alapvető biztonsági házirend is elegendő e BAGLE variánsok terjedésének megakadályozásához. E férgek gyakran olyan fájlkiterjesztéseket használnak, amelyeket a hálózati felhasználók nem, tehát az ilyen csatolt fájlok blokkolásának beállításával megakadályozható a férgek bejutása a hálózatba. Az ilyen házirendet bevezető ügyfelektől pozitív visszajelzést kaptott a Trend Micro erről a megoldásról. Hasonló dolgok mondhatók el a WORM_MYDOOM.M féregről is.
Július 26-án a Trend Micro közepes szintű riasztást jelentett be a WORM_MYDOM.M féreg kapcsán. A korábbi variánsokhoz hasonlóan ez a féreg levelezési szolgáltatásokon keresztül terjed, e-mail üzenetekhez csatolva önmagát. A WORM_BAGLE kódhoz hasonlóan a hiszékenységre építve csapja be a felhasználókat. A legtöbb esetben levelezőrendszer hibáról szóló értesítésnek álcázza magát. A külső e-mail címét is álcázza, így úgy tűnhet, mintha az e-mail egy baráttól jönne.
A WORM_MYDOOM.M azonban egy új taktikát alkalmaz az e-mail címek megkeresésére, amelyet Jamz Yaneza, a TrendLabs központ egyik vezető tanácsadója ismertet:
"A WORM_MYDOOM.M az alábbi címek használatával rákeres a célpontként kijelölt e-mailek domainnevére.
http://search.lycos.com
http://www.altavista.com
http://search.yahoo.com
http://www.google.com
http://www.altavista.com
http://search.yahoo.com
http://www.google.com
A keresők listájának "célpont valószínűségszámító" eszközként történő használata kétségtelenül új módszer, és könnyen a szolgáltatás szünetelését vonhatja maga után a nagyszámú igény miatt. Nagyon valószínűtlennek tartom, hogy még 10 000 egyidejű kapcsolat esetén is komoly hatással lenne ez a jelenség a keresőkre, mivel e szolgáltatások üzemeltetése elosztott hálózatokon keresztül történik, és nyilvánosan elérhető a világ teljes számítástechnikai közössége számára (amely sokmillió számítógépet jelent). A szolgáltatások leállása vagy érhetőségének megszűnése sokkal inkább az internetszolgáltatóknak tudható be, és annak, hogy a hálózatok tűzfalai akadályozták az átvitelt, látszólagos kapcsolódásai problémákat okozva.
A vírusjelentések félreértése és a keresők listájának valószínű vírusforrásként történő megadása a tűzfalakon is hozzájárulhatott a keresőszolgáltatások elérhetetlenségéhez."
Az előző variánsokhoz hasonlóan, ez a féreg is hátsó ajtót nyit a számítógépen, amelyen keresztül hozzáférhetővé válik a rendszer. A számítógépet ezt követően a rosszindulatú támadó felhasználhatja más támadások kivitelezésére vagy külső fejlesztőktől származó eszközök telepítésére, melyek információt tulajdonítanak el a rendszerről (pl. jelszavakat, hitelkártya számokat).
Ez olyan jelenség, amellyel gyakran találkozunk. Egyre több trójai program és hátsó ajtó jelenik meg, különböző céllal. A cél lehet a támadás elrejtése sok számítógépre, sok számítógép felhasználása egy célpont támadására vagy jelszavak, hitelkártya számok, e-mail címek stb. eltulajdonítása. Az ilyen rosszindulatú kódok által nyitott hátsó ajtók az emberi és digitális rosszindulatú támadók számára is felhasználhatók.
A WORM_MYDOOM.M egy hátsó ajtót helyez el és telepít a fertőzött rendszerekre. Megjelent egy olyan rosszindulatú kód is, amely ezen a hátsó ajtón keresztül terjed - a WORM_ZINDOS.A. E féreg célja, hogy sok számítógép megfertőzésével túlterheléses támadást intézzen a http://www.microsoft.com webhely ellen.
Legyen elővigyázatos: nem a látható kód az igazi fenyegetés, hanem a rejtett, például a trójai programok és hátsó ajtók.