Prim Hírek

Az utóbbi időszak vírusjelentéseit olvasva és azokat elemezve talán merésznek tűnő gondolatom támadt: a vírusok megjelenése, feltűnése véletlen, vagy esetleg az ismert „társadalmi frusztrációk, feszültségek levezetésénél" már több, és feltételezhető valami konkrét ártó szándék e mögött?

A „cyberattackról" már az amerikai elnök nyilatkozott a maga módján. A Tisztelt Olvasó tudja, mi az, és azt is, hogy mit lehet elérni egy támadással. Nem hiszem, hogy a Slammer esetét kellene példának említenem, mert számtalan, ennél jelentéktelenebb eset előfordult. A legegyszerűbb az információáramlást megállítani, lebénítani egy DoS-sal, esetleg egy DDoS-sal. Ehhez az kell, hogy az a „vezeték", jelesül az internet érintett része „elduguljon".

Ez úgy érhető el, ha egy honlapról vagy egy más, erre alkalmas helyről kis időintervallumokkal késleltetve, számtalan adatcsomagot küldünk, ami először az információáramlást lassítja, majd lebénítja. Erre a célra kiválóan megfelelnek tulajdonságaiknál fogva a számítógépes vírusok. Ha egy vírus eljut a célhelyre, és onnan elkezdi terjeszteni magát, amit megtesz minden ponton, amit megfertőzött - ez világméretben gondolkodva is percek alatt megtörténhet. Mire gondolok? Nagyon egyszerű - az utóbbi időben azok a vírusok jelentek meg, illetve azon víruscsaládok mutánsai, melyek már „bizonyították képességeiket".

Ezek általában UPX tömörítésűek, tömörített méretük 20-50 Kbyte között van. Kibontva 200-300 Kbyte. Az érintett vírusok mindegyike az ún. internetférgek közé sorolható, melyek, mint tudjuk, a megosztott hálózatokon éppen olyan könnyedén terjednek, mint a levelekkel. Célba éréskor a féreg többféle módon elérheti, hogy aktivizálódhasson. Legtöbbször a célgép felhasználója futtatja le, de van, hogy bizonyos programok sebezhetőségét kihasználva (Outlook Express) indul el a tényleges fertőzési folyamat. Ekkor a vírus a regisztrációs adatbázisban, és - rendszertől függően - esetleg még a win.ini fájlban olyan változásokat hoz létre, olyan bejegyzéseket tesz, ami az állandó futását biztosítja.

Itt többféle stratégiát alkalmazva ügyködhet. Van, hogy elsődleges célja biztosítani a megmaradását, állandó futási lehetőségét a gépen (antivírusprogramok, tűzfalak deaktiválása, registrybe, win.ini-be történő bejegyzések). Vagy memóriában fut, hogy ne érzékelhessék a víruskeresők, "Slammer"), és csak másodlagos, hogy tovább terjedjen és/vagy backdoort nyisson (egy „hátsó kaput" a fertőzött rendszeren, átjárhatóvá, védtelenné téve azt). Van, hogy elsődleges célja a terjedés, és csak másodlagos, hogy megmaradjon a gépen. Természetesen ennek ilyen szigorú határai nincsenek.

A következő lépés megkeresni a címeket tartalmazó mappát, és a levelezőprogrammal minden címre eljuttatni egy másolatot, ami a célhelyen ugyanezt a folyamatot kezdi el, vagy a megosztott hálózatokon terjedve teszi ugyanezt. Az esetek egy részében a féreg hordoz egy másik, sokkal kisebb méretű vírust, ami hasonló képességekkel rendelkezik, és a tömörített „anyaféreg" kibontása után válik szabaddá, mint annak a „trójai falova".

Először a Klezzel kell foglalkozni, mert a mai napig is magasan „vezet" jelenléte és fertőzőképessége, fertőzési statisztikája az interneten.

A Lovegate család egyedei terültek szét az interneten, és követte azokat a Deloader, mely egyed jelszó-variációk kipróbálásával, az egyszerűbb jelszavak megkeresésével képes bejutni a hálózati rendszerek és az egyes gépekbe egyaránt. A Nicehello az MSN rendszeren továbbítja a fertőzött gép adatait.

A Lentin féregtípus Yaha/Lentin család Yaha egyedei jelentek meg új mutációkban, nagyobb „tudással felvértezve". Az első a Yaha.Q volt, de rá egy napra már észlelték a Yaha.R -t is. A Yaha.Q által a pakisztáni és indiai weboldalakról indított DoS-okat.

A Bibrog-B HTM állományokat helyez a My Documents mappába, melyek a valós oldalak meghamisított változatai. Ezzel egy időben a mappában tárolt adatokat a féreg a támadónak elküldi.

Végül, de nem utolsósorban ne feledkezzünk meg a „legendáról", a CodeRed újjáéledéséről. A Stone féregtípus egyedének variánsa, a CodeRed 2 nem sokban különbözik az elődjétől. A CodeRed, hasonlóan a Yaha egyedekhez, szintén elsősorban támadások előkészítésére és indítására alkalmas, a célpontja a Fehér Ház weboldala.

E vírusok tehát az előbbiekben röviden leírt tulajdonságok mindegyikével, vagy majdnem mindegyikével rendelkeznek. Felbukkanásuk lehet véletlen, de feltételezésem, hogy nem az. A Lentin és Stone egyedek támadáspontjai (pakisztáni, indiai lapok, a Fehér Ház lapja) nem hiszem, hogy a véletlen kategóriába tartozna. Az sem hihető, hogy a hasonló képességű kórokozók ilyen rövid idő alatt véletlenül jelentek meg a hálózaton. Áttanulmányozva az előfordulásuk és aktivitásuk földrajzi helyeit - mely főleg dél-ázsiai és afrikai területre tehetők, szintén nem mondhatóak szerintem véletlennek.

Téves álláspont az, hogy az arab országok IT-rendszere „milyen elmaradott". Nem igaz. Fejlettsége alapján a versenyt a „nagyhatalmakkal" nem veheti fel, de megkockáztatom, hogy néhány európai országgal igen. Egyszóval célpont van. Tudjuk, hogy az internet teljes bénulása milyen kihatással van a kommunikációra, információcserére stb. (Gondoljunk a Slammerre, ami miatt Korea hálózata lebénult, Amerikában a telefonok nem működtek, a tv, rádió zavara hatalmas volt. Lebénultak a telefonkapcsolathoz kötött szolgáltatások - most jelentéktelen lenne, de a legjobb példa az ATM-ek leállása.)

Ugyanígy, ennek következtében a stratégiai fontosságú kommunikáció, távvezérlés szintén lebénítható, nem beszélve a radarokról, légvédelmi rendszerről, szárazföldi védelemről. Természetesen egy ilyen jellegű „támadás" hatásai megszüntethetőek, de nem azonnal - és ilyen esetben az időfaktor talán a legfontosabb tényező. Mindezt, mint láthatjuk, természetesen nem csak háborúkhoz lehet kötni - az utóbbi időszak legfontosabb eseménye természetesen az volt.

Az Öböl-háborút követően a hálózaton kiterjedt incidenciával jelentek meg az új férgek. Ezek általában a wormok csoportjához tartoztak - de meghatározásuk, így egyszerűen felületes lenne. Az újabb kórokozók írói egyre összetettebb funkcióval ruházták fel „alkotásaikat". A worm, a féreg meghatározás helyett jobban illik a polimorf kórokozó név rájuk. A fentebb leírt tulajdonságok, képességek „finomodtak". Csaknem mindegyik trójaiként is szerepelt, azáltal, hogy keyloggereket, kémprogramokat, SMTP szervereket „vittek magukkal". Kifejezetten feltűnő bámulatosan gyors terjedésük volt, amihez első alkalommal használták fel azt a módszert, hogy valamely neves cég címét hamisítva, technikai segítséget ajánlva áramlott a levéltömeg.

A Sobig ismételt feltűnése „megmutatta", hogy miként lehet a terjedés érdekében ellátni egy férget „spammer" tulajdonsággal is. Jellemző volt még időzítésük - előre megadott időpontban inváziójuk megszűnt (kivétel a Sobig-C, ahol ez egy programhiba miatt nem működik). Az utóbbi féreg tipikus példa lehet arra, hogy fergeteges terjedésük, tudásuk miatt - szabadjára engedve azokat - kiváló jelzőforrásként, hírforrásként szolgálhatnak mind az üzleti, politikai és nemzetbiztonsági szférában egyaránt.

Legutolsóként a Bugbear-B-t említem meg, hasonló képességei vannak, de talán ez az első olyan kórokozó, amelyikről feltétel nélkül kimondható, hogy konkrét céllal készült - miután számtalan bank címét hordozza, képes felmérni az ott lévő rendszereket, azok sebezhetőségét, és bejutva információk tömegével látja el íróját. Nem hinném, hogy a „klasszikus bankrablás" előkészülete lenne, inkább a „nyakkendős bűnözésé", a csalásé - mely az általa szolgáltatott információk birtokában „gyerekjáték".