2004 januárjában is a férgek jelentették a legnagyobb fenyegetést
David Kopp, a TrendLabs EMEA vezetője a TrendLabs által januárban megfigyelt vírustevékenységről
A hátsó
ajtók - a vírusokkal ellentétben - nem
rendelkeznek önterjesztő
rutinnal. A hátsó ajtók férgekbe ágyazódva (eddig ez nem volt lehetséges), azok
segítségével képesek e-maileken, hálózati megosztásokon, az azonnali üzenetküldő és P2P fájlcserélő programokon keresztül terjedni. Ennek eredményeképpen a hátsó ajtók már
nem csak egyedi számítógépeket, hanem egész hálózatok biztonságát
veszélyeztetik. A gazdaférgekbe beágyazódott hátsó ajtók a hálózaton belül több
rendszert is képesek megtámadni, amely azt jelzi, hogy a hálózatok elleni
állandóan jelenlevő
fenyegetések elleni védelem érdekében a határozott biztonsági irányelvek
kialakítása még fontosabb, mint eddig valaha.
A januárban megfigyelt kulcsfontosságú fenyegetések
A TROJ_XOMBE.A január elején jelent meg,
és tipikus példája a vegyes fenyegetés technológiáknak. Láttuk már a vírusíró
és hacker családok együttműködését.
Úgy tűnik most a spamküldők 'családja' is csatlakozott e tevékenységhez.
Amint a
neve is mutatja, a TROJ_XOMBE.A egy trójai program (például nem rendelkezik
semmilyen kódolt önterjesztő
rutinnal). Azonban sokak - állításuk szerint - ezt a rosszindulatú kódot
e-mailen keresztül kapták meg, amely azt jelzi, hogy az e-mail valójában egy
rosszindulatú kódot tartalmazó csatolt fájllal rendelkező spam. Manapság egyre gyakrabban alkalmazzák a spam
technikákat rosszindulatú kódok terjesztéséhez. Ez az e-mail meg is téveszti a
számítógép-felhasználókat, mivel a Microsoft cégtől származó e-mailnek álcázza magát (Csatolt fájl neve: WINXP_SP1.EXE,
Tárgy: Windows XP Service Pack 1 (Express) - Critical Update). Célszerű megjegyezni, hogy az EXE fájlok kizárását eredményező egyszerű szabály
alkalmazása az Internet átjárók szintjén elég védelmet nyújt ezen rosszindulatú
kód ellen.
Január
19-én helyi idő szerint
délután 2 órakor a Trend Micro az első cégként jelentette be a WORM_BAGLE.A
féreg megjelenése kapcsán a sárga szintű riasztást. A támadást egy féreg okozta - kihangsúlyozva ezzel, hogy
manapság az ilyen típusú rosszindulatú kódok jelentik az igazi veszélyt. Először az Egyesült Államokban fedezték fel, ahová e-mailen
keresztül jutott el. Ezen email jellemzői a következők:
Feladó: álcázott cím
Tárgy: Hi
Csatolt fájl: (véletlenszerű karakterlánc).exe
Szöveg: Test =)
Véletlenszerű karakterlánc
--
Test,
yep
A
WORM_BAGLE.A féreg ellenőrzi az
aktuális rendszerdátumot, és megszünteti működését, ha a rendszer dátuma 2004. január 28. vagy későbbi. A futtatás során ez a féreg megnyitja a 6777 számú
portot, ezzel támadhatóvá teszi a rendszert a hackerek számára. Nem csak a
megfertőzött
rendszer, hanem a vállalati hálózat biztonsága is veszélybe kerülhet (ha a
rendszer csatlakozik egy hálózathoz).
A
WORM_SOBIG.F féreg a felhasználó neve alapján megkeresi a domain nevét, és
lekérdezi a domainhez kapcsolódó DNS (Domain Name Server) szervereket a MailBox
(MB) szerverek címeinek megszerzéséhez. Ez a folyamat felgyorsíthatja a vírus
terjedését. E féregnek az általa végrehajtott rosszindulatú tevékenység mellett
megfigyelhető másik
két érdekes jellemvonása is:
Ez a
féreg EXE kiterjesztésű csatolt
fájl használatával terjed. Az a tény, hogy az ilyen típusú rosszindulatú kódok
az Internet átjárók szintjén egy egyszerű szabállyal kizárhatók, a következő következtetésekhez vezet:
- A sok felhasználó és vállalati hálózat megfertőződése azt mutatja, hogy még vannak vállalatok, amelyek nem elég tájékozottak az alapvető biztonsági szabályokkal kapcsolatban.
- Az is felvetődött, hogy ez a rosszindulatú kód még nincs végleges
állapotban, mivel az EXE fájlok egy egyszerű szabállyal kizárhatók - és ezt a legtöbb vírusíró is
tudja. Ezt a feltevést a kód nem tömörített volta is megerősíti. A vírusírók gyakran olyan
algoritmusok használatával tömörítik a rosszindulatú kódot, mely
segítségével átjuthatnak a gyenge vírusvédelmi megoldásokon. Emiatt
gondoljuk, hogy ez a rosszindulatú kód tévedésből lett kiadva.
2004. január 26-án délután 1 óra 47 perckor (US Pacific Time időzóna szerint) a Trend Micro bejelentette a sárga szintű riasztást a WORM_MIMAIL.R (Mydoom vagy Novarg.A féregként is ismert) vírus megjelenése miatt.
Ez a tömeges levélküldő féreg a tárgyat, szöveget és a csatolt fájlok neveit egy
listából választja az általa küldött email üzenetekhez. A féreg oly módon
álcázza az üzenet feladójának nevét, hogy úgy tűnjön, mintha különböző felhasználók küldték
volna az üzenetet, és nem a fertőzött gépek aktuális használói - ezzel ismét bemutatva az emberi hiszékenység kihasználásának egy bonyolult
technikáját. A féreg a Kazaa fájlmegosztó hálózatokon keresztül is terjed.
A WORM_MIMAIL.R féreg
túlterheléses (denial of service - DoS) támadást is indított a www.sco.com üzleti szoftverekkel
foglalkozó weboldal ellen. Véleményünk szerint ezt a támadást az a tény
motiválhatta, hogy az SCO pert indított számos kulcsfontosságú Linux
disztribútorral szemben (2003. novemberben).
Január 27-e óta erről a féregről jegyezték fel a legnagyobb számú jelentést az Egyesült Államokban.
A
TrendLabs EMEA a gyanús tevékenységeket és hatásokat a hét minden napján, 0-24
óráig figyelemmel kíséri az Európa, Közel-kelet, Afrika régióban, hogy magas
színtű védelmet és szolgáltatásokat
nyújthasson ügyfeleinek.
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
- Még nem fertőzött a PC-je? Kattintson ide, és az lesz...
- Új vállalati kémprogram-eltávolító