Duts, az új mobilvírus

Geza Papp, 2004. július 19. 08:00
Duts-bemutató - azaz a Windows Mobil vírus ma már valóság - jelentette be a Kaspersky Labs a Microsoft mobil operációs rendszer, a Windows CE .NET. első vírusának észlelését.
Az operációs rendszer PocketPC-ken és néhány fajta smartphon rendszerén fut. A Win.CE.Duts.a egy klasszikus élősködő vírus mérete 1520 byt. A mobilberendezéseken, a PocketPC-ken és a smartphonokon küldött e-mailben terjed elsősorban - elődjéhez hasonlóan "fizikai kapcsolat nélkül", de még...

terjedhet az interneten, a cserélhető flashmemória-kártyán (mint az mmc és a memory stick duo), PC-szinkronizáción is, emellett - sajnos - képes a terjedéshez kihasználni a Bluetooth technológiát. A már leírt párbeszédpanel megjelenik, amikor a gépre jut, és ha igen, választ ad a felhasználó, a Duts behatol a My Device (gyökérkönyvtár) mindent 4 kb-nál nagyobb méretű futtatható állományába. A fertőzés végén a vírus egy állomány végére írja kódját, és megváltoztatja belépési pontját. Emellett a fertőzött fájlokban lévő "empty header" üres területét megjelöli "atar" szöveggel, ezzel megelőzi a felesleges újrafertőzést. A Duts, bár kritériumai alapján (fertőz, terjed, szaporodik stb...) valódi vírus, de semmilyen rendszerre ártalmas kódot nem tartalmaz.

A nyár hagyományosan a vírusjárványok ideje: múlt évben egyaránt stresszelte a nyáron írt Lovesan, Sobig és Loveletter mind a felhasználókat, mind a biztonsági szakembereket.

A vírusírók egy csoportja a rosszindulatú kódjaival bebizonyította hogy a "megfertőzhetetlen rendszer elmélet" nem igaz. 2004, úgy néz ki, a "meglepetések nyarát" hozza a vírusok terén: "kísérleti" malware-eket, kódokat arra, hogy a "lehetetlennek hitt fogalmak" megváltozzanak. Ezt eddig is olyan (bizonyító hatású) "proof-of -concept" vírusokkal tették, mint az első mobiltelefon-vírus, a Cabir, az első 64 bites rendszerekre ártalmas Rugrat - melyeket úgy néz ki, nem "széles körű" károkozás miatt írtak, hanem az volt a cél, hogy megmutassák, hogy az új operációs rendszerek, technológiák éppoly fertőzhetőek, mint más rendszerek.

Az a meglátásom, hogy az "Apranet"-korszak elveit valló "utolsó lovagrendek" is lassan megszűnnek mind a hackerek, mind a vírusírók körében. Ekkor még az volt sokuknak a célja, hogy károkozás nélkül megmutassák a "maguk módján" a különböző rendszerek sérülékeny pontjait, fertőzés veszélyeit. Mi igen sajnálatos módon helyüket egyre inkább átveszi a kihasználható, sok esetben államilag dotált információszerzés, kémkedés, haszonszerzés. Egyik ilyen "utolsó lovagrendnek" tartom a nemzetközi 29A vírusíró csoportot, akik az eddig említett vírusokat megírták "proof-of-concept" kódok írására specializálódtak. Nem feledve azt, hogy a hálózatra jutó minden vírus káros - hozzá kell tenni azt, hogy "termékeikben" nem volt olyan kód, mely a megfertőzött rendszert tönkretette volna.

A legutolsó ilyen vírus program a Win.CE.Duts.a, mely az eddig vírusoktól érintetlen Windows CE NET operációrációs rendszert használó eszközöket fertőz meg. Az említett Mobil Windows rendszer a PocketPC -ken és néhány smartphonon fut. A vírus fertőzés előtt még "illedelmesen engedélyt is kér" - "Dear User, am I allowed to spread?" (Kedves felhasználó, engedélyezi elterjedésemet?). A fertőzés akkor kezdődik, ha a kérdésre igennel válaszolnak (általában sajnos). Ekkor a vírus megfertőzi a rendszer, a Pocket PC (My Device) gyökérkönyvtárának PE (.exe) állományait - kódja olyan utasítást, mely a rendszer "rombolását" célozná meg nem tartalmaz, de egyéb károsat sem.

Win.CE.Duts.a valószínűtlen, hogy a hálózaton ItW megtalálható. Szerzője a 29A csoport tagja, álneve az interneten "Rotter". A Duts a megjelenése, megírása figyelmeztetés is egyben, egy vészharang, ami azt jelzi, hogy a technológia és operációs rendszerek igen gyors fejlődésének minden lépését igen gyorsan követik a "rosszindulatú" kódok is.

"A Duts egy "proof-of-concept" rosszindulatú program, mely jelzi, és bemutatja azt, hogy Windows Mobil is ki vannak téve a vírusfertőzésnek - az elvégzett tesztek szerint a kód a megfelelő környezetben igen hatékonyan "szaporodik" - mondta Eugene Kaspersky, Head of Anti-Virus Research at Kaspersky Labs - Nem számítunk tömeges fertőzésre - hiszen a kód jelzi "fertőzési szándékát a felhasználónak."

"A múlt hónap az eseményei igazán zavarnak. A számítógép underground megragadta új lehetőségként a mobil berendezéseket. Mág most nem lehet tudni, hogy mikor írnak olyan kódot, ami ártalmas utasításokat tartalmaz, amik mobil eszközökön terjednek. Ezek globális kitörése, fertőzése sajnos egyre közelebb, és közelebb van" -v összegezte Eugene Kaspersky.

G. Papp dr
Networksecurity and Virusanalyst
Kulcsszavak: vírus mobil

Biztonság ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59