Februárban is az emberi hiszékenységet kihasználó férgek jelentették a legnagyobb fenyegetést
forrás Prim Online, 2004. március 6. 09:05
Februárban a Trend Micro mintegy 925 új rosszindulatú kódot
(számítógépférget, vírust, trójai és egyéb rosszindulatú programot)
ismert fel. A három legfőbb típus, amellyel találkoztunk, a trójai
programok, a hátsó ajtók és a férgek voltak.
Ha megtekintjük a februári vírusfenyegetések toplistáját, azt láthatjuk, hogy a rosszindulatú kódok 70 százaléka férgekkel hozható összefüggésbe. Tehát ismét a férgek jelentik a legnagyobb fenyegetést.
A január végén megjelent WORM_MYDOOM.A jól mutatja az interneten keresztül terjedő férgek tevékenységét és az alkalmazott technológiák típusát. A WORM_MYDOOM.A vezeti a rosszindulatú kódok Trend Micro által összeállított februári 10-es toplistáját (amely a Housecall ingyenes on-line keresőszoftverrel megtalált gyanús fájlokon alapul). Ez a féreg nagy hálózati forgalmat okozott (az interneten és vállalati hálózatokban), különösen a levelezőszerverek szintjén. A féreg emellett világszerte hatással volt az összes számítógép-felhasználóra, különösen a SOHO (small office/home office) és otthoni felhasználókra. Sok számítógép-felhasználó a személyes levelesládájába kapta meg, vagy ismer valakit, akihez eljutott ez a féreg. A WORM_MYDOOM.A gyorsabban terjedt, mint a tavaly nyáron megjelent WORM_SOBIG.F féreg. De hogyan terjedhetett ilyen gyorsan? Milyen technikákat alkalmaztak?
Mint már korábban említettük, a férgek főleg e-maileken keresztül, e-mailhez csatolt fájlként terjednek. A férgek a csatolt fájlok automatikus futtatásához nem használják ki a biztonsági réseket, ehelyett teljes egészében a felhasználó beavatkozására támaszkodnak. Ennek eléréséhez az emberi hiszékenység kihasználása (social engineering) fogást alkalmazzák, amely az e-mailt egy ismerős rendszerüzenetnek vagy egy barát üzenetének álcázva veszi rá a gyanútlan felhasználót a fertőzést okozó csatolt fájl megnyitására. A féreg, miután megfertőzte a felhasználó rendszerét, elkezdheti a rosszindulatú tevékenységet.
A WORM_MYDOOM.A további e-mail címeket gyűjt be a fertőzött felhasználó címjegyzékéből és a merevlemez-meghajtóról. A fertőzések számának növelése céljából elkülöníti az összegyűjtött e-mail címek domain nevét, majd a leggyakrabban használt keresztnevek listáját alapul véve új e-mail címeket hoz létre. Ily módon a féreg a megtalált felhasználó@domain.com e-mail címekből alice@domain.com, david@domain.com, robert@domain.com stb. e-mail címeket hoz létre.
A terjedés sebességének növeléséhez a WORM_MYDOOM.A nem az alapértelmezett levelezőszerverre küldi el az e-maileket, hanem a levéltovábbító szervereket próbálja felhasználni a következőkben leírtak szerint: az előzőekben összegyűjtött domain nevekhez hozzáad egy előtagot a leggyakrabban használt felhasználói nevek listájából - például: a felhasználó@domain.com címek megtalálásakor a vírus a domain és az előre definiált előtagok listájából nyert levelezőszerver címeket próbálja felhasználni. Például a mx.domain.com, smtp.domain.com, mail.domain.com stb. címeket.
A WORM_MYDOOM.A másolatokat is elhelyez magáról a Kazaa fájlcserélő megosztott mappájába olyan vonzó nevekkel, mint a winamp5.exe vagy az office_crack.bat. Így ezek a másolatok elérhetővé válnak a Kazaa hálózat összes felhasználója számára.
E féreg a legfőbb problémát a hálózatok túlterhelésével okozta, de telepített egy hátsó ajtót is a fertőzött számítógépeken. Ezáltal a hackerek és vírusírók a fertőzött számítógépeket használhatják a támadásaik elrejtésére, vagy bármely program/kód fertőzött gépeken történő futtatására. A WORM_MYDOOM.A megjelenése után láthattuk, hogy hogyan használták a hátsó ajtót a terjedéshez más rosszindulatú kódok, például a WORM_MYDOOM.B, a WORM_DEADHAT.A és a WORM_DOOMJUICE.A. A hátsó ajtó maga után von más fenyegetéseket is, lehetővé téve például egy rosszindulatú támadó számára billentyűzet-figyelő (keylogger) szoftver telepítését és hálózati jelszavak, hitelkártya-számok stb. begyűjtését.
A vírustevékenység nem ért véget február 12-én, amikor a WORM_MYDOOM.A automatikusan befejezte terjedési rutinját. Február 17-én a Trend Micro közepes szintű riasztást jelentett be a WORM_BAGLE.B féreg kapcsán.
A WORM_BAGLE.B teljes mértékben az emberi hiszékenység kihasználása által nyújtott fogásokra támaszkodva terjeszti önmagát. Rendszerint exe kiterjesztésű csatolt fájlként érkezik. Egy egyszerű szabály létrehozása, mint például az exe fájlok kizárása, elég lehet ezen típusú rosszindulatú kódok elleni védekezéshez. A féreg felhasználói beavatkozást igényel a rosszindulatú kód futtatásához, mivel nem rendelkezik önfuttató rutinnal. A WORM_BAGLE.B. álcázza a feladó azonosságát, az üzenet szövege rövid és a felhasználót az azonosítójának megadására szólítja fel. A csatolt fájl egy hangfájl ikon mögé rejtőzik, és elindításkor működésbe hozza a Microsoft Hangrögzítőt, ezzel az alkalmazással takarva el a felhasználó elől a háttérben zajló rosszindulatú tevékenységet. Számos egyéb féreghez hasonlóan a WORM_BAGLE.B. is elhelyez egy hátsó ajtót, ezáltal potenciális célpontként hagyva a fertőzött számítógépet más rosszindulatú támadók számára.
A 17-i riasztást gyorsan követte egy másik sárga szintű riasztás február 18-án, a WORM_NETSKY.B féreg kapcsán.
Ez a rosszindulatú kód is az emberi hiszékenységre támaszkodva biztosítja a saját futtatását. A tárgy és az üzenet szövege nagyon rövid. Mivel egyre több vállalat tiltja be az azonnali üzenetküldő alkalmazások használatát, a dolgozók a belső kommunikációt e-mailen keresztül bonyolítják le. Így a felhasználók félrevezetése céljából a WORM_NETSKY.B a rövid e-mail szövegek alkalmazásával igyekszik utánozni ezt a trendet. Ez a féreg is más nevét felhasználva küldi az üzeneteket. E rosszindulatú kód vonzó névvel ellátott (például photoshop 9 crack.exe, how to hack.doc.exe) másolatai elhelyezésével is terjed a Kazaa fájlcserélőn megosztott mappákon keresztül.
A WORM_NETSKY féregnek nem csak a .B változatával találkoztunk. Egy héttel később, február 25-én közepes szintű riasztást jelentettünk be a WORM_NETSKY.C kapcsán.
A korábbi variánsokhoz hasonlóan ez a féreg is az emberi hiszékenységet használja ki, vagyis a rosszindulatú program futtatását a számítógép felhasználója által biztosítja. Az összes jellemző gyakorlatilag ugyanaz, kivéve, hogy ez a variáns képes nagy számú e-mail létrehozására a programba kódolt tárgy, üzenetszöveg, a csatolt fájlnév stb. használatával. Egy másik különbség műszaki szempontból, hogy a .B variáns az UPX tömörített formátumot alkalmazta, míg a .C a Petite tömörített formátumot használja.
E hónap aktivitásának összegzéseként látható, hogy a vírusírók gyakran az emberi hiszékenységet használják ki, és továbbra is jellemzően ez vezet a rosszindulatú programok futtatásához. Ez azt jelzi, hogy még mindig nagyon kicsi a felhasználók veszélyérzete a jelenlegi internetes biztonsági fenyegetésekkel szemben. A vállalatok jelentősen csökkenthetik az ilyen fenyegetések általi megfertőződés veszélyét egy biztonsági veszélyérzetet növelő kampány segítségével. Ehhez szigorú biztonsági házirenddel megalapozott háttér szükséges, amely tartalmazza az alapvető szabályokat, például csatolt fájlok blokkolását a valódi fájltípus vagy kiterjesztés alapján.
A TrendLabs EMEA a gyanús műveleteket és hatásokat a hét minden napján, 0-24 óráig figyelemmel kíséri az Európa, Közel-kelet, Afrika régióban, hogy magas szintű védelmet és szolgáltatásokat nyújthasson ügyfeleinek.
A január végén megjelent WORM_MYDOOM.A jól mutatja az interneten keresztül terjedő férgek tevékenységét és az alkalmazott technológiák típusát. A WORM_MYDOOM.A vezeti a rosszindulatú kódok Trend Micro által összeállított februári 10-es toplistáját (amely a Housecall ingyenes on-line keresőszoftverrel megtalált gyanús fájlokon alapul). Ez a féreg nagy hálózati forgalmat okozott (az interneten és vállalati hálózatokban), különösen a levelezőszerverek szintjén. A féreg emellett világszerte hatással volt az összes számítógép-felhasználóra, különösen a SOHO (small office/home office) és otthoni felhasználókra. Sok számítógép-felhasználó a személyes levelesládájába kapta meg, vagy ismer valakit, akihez eljutott ez a féreg. A WORM_MYDOOM.A gyorsabban terjedt, mint a tavaly nyáron megjelent WORM_SOBIG.F féreg. De hogyan terjedhetett ilyen gyorsan? Milyen technikákat alkalmaztak?
Mint már korábban említettük, a férgek főleg e-maileken keresztül, e-mailhez csatolt fájlként terjednek. A férgek a csatolt fájlok automatikus futtatásához nem használják ki a biztonsági réseket, ehelyett teljes egészében a felhasználó beavatkozására támaszkodnak. Ennek eléréséhez az emberi hiszékenység kihasználása (social engineering) fogást alkalmazzák, amely az e-mailt egy ismerős rendszerüzenetnek vagy egy barát üzenetének álcázva veszi rá a gyanútlan felhasználót a fertőzést okozó csatolt fájl megnyitására. A féreg, miután megfertőzte a felhasználó rendszerét, elkezdheti a rosszindulatú tevékenységet.
A WORM_MYDOOM.A további e-mail címeket gyűjt be a fertőzött felhasználó címjegyzékéből és a merevlemez-meghajtóról. A fertőzések számának növelése céljából elkülöníti az összegyűjtött e-mail címek domain nevét, majd a leggyakrabban használt keresztnevek listáját alapul véve új e-mail címeket hoz létre. Ily módon a féreg a megtalált felhasználó@domain.com e-mail címekből alice@domain.com, david@domain.com, robert@domain.com stb. e-mail címeket hoz létre.
A terjedés sebességének növeléséhez a WORM_MYDOOM.A nem az alapértelmezett levelezőszerverre küldi el az e-maileket, hanem a levéltovábbító szervereket próbálja felhasználni a következőkben leírtak szerint: az előzőekben összegyűjtött domain nevekhez hozzáad egy előtagot a leggyakrabban használt felhasználói nevek listájából - például: a felhasználó@domain.com címek megtalálásakor a vírus a domain és az előre definiált előtagok listájából nyert levelezőszerver címeket próbálja felhasználni. Például a mx.domain.com, smtp.domain.com, mail.domain.com stb. címeket.
A WORM_MYDOOM.A másolatokat is elhelyez magáról a Kazaa fájlcserélő megosztott mappájába olyan vonzó nevekkel, mint a winamp5.exe vagy az office_crack.bat. Így ezek a másolatok elérhetővé válnak a Kazaa hálózat összes felhasználója számára.
E féreg a legfőbb problémát a hálózatok túlterhelésével okozta, de telepített egy hátsó ajtót is a fertőzött számítógépeken. Ezáltal a hackerek és vírusírók a fertőzött számítógépeket használhatják a támadásaik elrejtésére, vagy bármely program/kód fertőzött gépeken történő futtatására. A WORM_MYDOOM.A megjelenése után láthattuk, hogy hogyan használták a hátsó ajtót a terjedéshez más rosszindulatú kódok, például a WORM_MYDOOM.B, a WORM_DEADHAT.A és a WORM_DOOMJUICE.A. A hátsó ajtó maga után von más fenyegetéseket is, lehetővé téve például egy rosszindulatú támadó számára billentyűzet-figyelő (keylogger) szoftver telepítését és hálózati jelszavak, hitelkártya-számok stb. begyűjtését.
A vírustevékenység nem ért véget február 12-én, amikor a WORM_MYDOOM.A automatikusan befejezte terjedési rutinját. Február 17-én a Trend Micro közepes szintű riasztást jelentett be a WORM_BAGLE.B féreg kapcsán.
A WORM_BAGLE.B teljes mértékben az emberi hiszékenység kihasználása által nyújtott fogásokra támaszkodva terjeszti önmagát. Rendszerint exe kiterjesztésű csatolt fájlként érkezik. Egy egyszerű szabály létrehozása, mint például az exe fájlok kizárása, elég lehet ezen típusú rosszindulatú kódok elleni védekezéshez. A féreg felhasználói beavatkozást igényel a rosszindulatú kód futtatásához, mivel nem rendelkezik önfuttató rutinnal. A WORM_BAGLE.B. álcázza a feladó azonosságát, az üzenet szövege rövid és a felhasználót az azonosítójának megadására szólítja fel. A csatolt fájl egy hangfájl ikon mögé rejtőzik, és elindításkor működésbe hozza a Microsoft Hangrögzítőt, ezzel az alkalmazással takarva el a felhasználó elől a háttérben zajló rosszindulatú tevékenységet. Számos egyéb féreghez hasonlóan a WORM_BAGLE.B. is elhelyez egy hátsó ajtót, ezáltal potenciális célpontként hagyva a fertőzött számítógépet más rosszindulatú támadók számára.
A 17-i riasztást gyorsan követte egy másik sárga szintű riasztás február 18-án, a WORM_NETSKY.B féreg kapcsán.
Ez a rosszindulatú kód is az emberi hiszékenységre támaszkodva biztosítja a saját futtatását. A tárgy és az üzenet szövege nagyon rövid. Mivel egyre több vállalat tiltja be az azonnali üzenetküldő alkalmazások használatát, a dolgozók a belső kommunikációt e-mailen keresztül bonyolítják le. Így a felhasználók félrevezetése céljából a WORM_NETSKY.B a rövid e-mail szövegek alkalmazásával igyekszik utánozni ezt a trendet. Ez a féreg is más nevét felhasználva küldi az üzeneteket. E rosszindulatú kód vonzó névvel ellátott (például photoshop 9 crack.exe, how to hack.doc.exe) másolatai elhelyezésével is terjed a Kazaa fájlcserélőn megosztott mappákon keresztül.
A WORM_NETSKY féregnek nem csak a .B változatával találkoztunk. Egy héttel később, február 25-én közepes szintű riasztást jelentettünk be a WORM_NETSKY.C kapcsán.
A korábbi variánsokhoz hasonlóan ez a féreg is az emberi hiszékenységet használja ki, vagyis a rosszindulatú program futtatását a számítógép felhasználója által biztosítja. Az összes jellemző gyakorlatilag ugyanaz, kivéve, hogy ez a variáns képes nagy számú e-mail létrehozására a programba kódolt tárgy, üzenetszöveg, a csatolt fájlnév stb. használatával. Egy másik különbség műszaki szempontból, hogy a .B variáns az UPX tömörített formátumot alkalmazta, míg a .C a Petite tömörített formátumot használja.
E hónap aktivitásának összegzéseként látható, hogy a vírusírók gyakran az emberi hiszékenységet használják ki, és továbbra is jellemzően ez vezet a rosszindulatú programok futtatásához. Ez azt jelzi, hogy még mindig nagyon kicsi a felhasználók veszélyérzete a jelenlegi internetes biztonsági fenyegetésekkel szemben. A vállalatok jelentősen csökkenthetik az ilyen fenyegetések általi megfertőződés veszélyét egy biztonsági veszélyérzetet növelő kampány segítségével. Ehhez szigorú biztonsági házirenddel megalapozott háttér szükséges, amely tartalmazza az alapvető szabályokat, például csatolt fájlok blokkolását a valódi fájltípus vagy kiterjesztés alapján.
A TrendLabs EMEA a gyanús műveleteket és hatásokat a hét minden napján, 0-24 óráig figyelemmel kíséri az Európa, Közel-kelet, Afrika régióban, hogy magas szintű védelmet és szolgáltatásokat nyújthasson ügyfeleinek.
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional