Trend Micro júliusi vírustoplista

forrás Prim Online, 2004. augusztus 5. 11:00
A Trend Micro júliusban mintegy 1400 új rosszindulatú kódot (számítógépférget, vírust, trójai és egyéb rosszindulatú programot) azonosított az előző havi 950-nel szemben.
Július érdekes hónapnak bizonyult, hiszen nemcsak az első, mobileszközöket támadó vírus, a WINCE_DUTS.A megjelenésének lehettünk tanúi, hanem a BAGLE és MYDOOM férgek újjáéledésének is - mindez a Trend Microt négy közepes szintű globális riasztás kiadására késztette (WORM_BAGLE.AD, WORM_BAGLE.AF, WORM_BAGLE.AH és WORM_MYDOOM.M.).

A fenti listáról látható, hogy a riasztások közül három a BAGLE variánsaihoz tartozott. Miért éledtek most újra? Gyanítható, hogy a NETSKY szerzőjének letartóztatása után tiszta a pálya a BAGLE féreg előtt (emlékszik a pár hónappal ezelőtti vírusháborúra?). Egy másik tényező, hogy a WORM_BAGLE.AD felfedte saját forráskódját, így a gyakorlott felhasználók erre a kódra alapozva létrehozhatják saját új variánsaikat, ha úgy tartja kedvük. Ez megmagyarázza a WORM_BAGLE.AF és WORM_BAGLE.AG variánsok megjelenését. A legújabb variánsok mindegyike nagymértékben alapoz az emberi hiszékenységre: a felhasználókkal elhiteti, hogy az e-mail megbízható forrásból jött, és a csatolt fájl megnyitására buzdítja őket. Még olyan WORM_BAGLE variánsok is léteznek, amelyek jelszóval védik a csatolt fájlt. A futtatáshoz egy jelszót kell megadni, amelyet az üzenet tartalmaz. Meglepő módon működik a dolog! Hány embert vezettek így félre? Rengeteget.

Ezek a WORM_BAGLE variánsok igyekeznek megakadályozni, hogy saját másolatukat elküldjék a főbb biztonsági szállítókhoz, így megpróbálják lelassítani a felismerést biztosító eszközök szállítását. Ez a művelet azonban nem sok hatással van a végeredményre, mivel a vírusvédelmi cégek nem postafiókjukba érkező mintákra építik tevékenységüket.

A vírusok szerzőjének üzenetei még mindig megtalálhatók a kódban. Ilyen üzenetek például:

In a difficult world

In a nameless time

I want to survive

So, you will be mine!!

- Bagle szerző, Németország

Ezek a BAGLE variánsok fájlmegosztó (P2P) hálózatokon is terjednek oly módon, hogy másolatukat elhelyezik az ilyen hálózatok által használt mappákba. Természetesen vonzó nevekkel vezetik félre a felhasználókat, akik azt hiszik, hogy filmeket, zenét vagy valami hasonlót töltenek le.

A legfrissebb WORM_BAGLE variánsok - elődeikhez hasonlóan - megpróbálják eltávolítani a WORM_NETSKY fertőzéseket (bizonyítva, hogy a "háború" még mindig tart), és megkísérlik a telepített biztonsági megoldások (például vírusvédelmi szoftverek) leállítását. Ez a működés kikövezi az utat a jövőbeli támadásokhoz, mivel a számítógép elveszíti védelmét. Valószínűleg ez a legnagyobb fenyegetés e variánsok részéről.

Néhány alapvető biztonsági házirend is elegendő e BAGLE variánsok terjedésének megakadályozásához. E férgek gyakran olyan fájlkiterjesztéseket használnak, amelyeket a hálózati felhasználók nem, tehát az ilyen csatolt fájlok blokkolásának beállításával megakadályozható a férgek bejutása a hálózatba. Az ilyen házirendet bevezető ügyfelektől pozitív visszajelzést kaptott a Trend Micro erről a megoldásról. Hasonló dolgok mondhatók el a WORM_MYDOOM.M féregről is.

Július 26-án a Trend Micro közepes szintű riasztást jelentett be a WORM_MYDOM.M féreg kapcsán. A korábbi variánsokhoz hasonlóan ez a féreg levelezési szolgáltatásokon keresztül terjed, e-mail üzenetekhez csatolva önmagát. A WORM_BAGLE kódhoz hasonlóan a hiszékenységre építve csapja be a felhasználókat. A legtöbb esetben levelezőrendszer hibáról szóló értesítésnek álcázza magát. A külső e-mail címét is álcázza, így úgy tűnhet, mintha az e-mail egy baráttól jönne.

A WORM_MYDOOM.M azonban egy új taktikát alkalmaz az e-mail címek megkeresésére, amelyet Jamz Yaneza, a TrendLabs központ egyik vezető tanácsadója ismertet:

"A WORM_MYDOOM.M az alábbi címek használatával rákeres a célpontként kijelölt e-mailek domainnevére.

http://search.lycos.com

http://www.altavista.com

http://search.yahoo.com

http://www.google.com

A keresők listájának "célpont valószínűségszámító" eszközként történő használata kétségtelenül új módszer, és könnyen a szolgáltatás szünetelését vonhatja maga után a nagyszámú igény miatt. Nagyon valószínűtlennek tartom, hogy még 10 000 egyidejű kapcsolat esetén is komoly hatással lenne ez a jelenség a keresőkre, mivel e szolgáltatások üzemeltetése elosztott hálózatokon keresztül történik, és nyilvánosan elérhető a világ teljes számítástechnikai közössége számára (amely sokmillió számítógépet jelent). A szolgáltatások leállása vagy érhetőségének megszűnése sokkal inkább az internetszolgáltatóknak tudható be, és annak, hogy a hálózatok tűzfalai akadályozták az átvitelt, látszólagos kapcsolódásai problémákat okozva.

A vírusjelentések félreértése és a keresők listájának valószínű vírusforrásként történő megadása a tűzfalakon is hozzájárulhatott a keresőszolgáltatások elérhetetlenségéhez."

Az előző variánsokhoz hasonlóan, ez a féreg is hátsó ajtót nyit a számítógépen, amelyen keresztül hozzáférhetővé válik a rendszer. A számítógépet ezt követően a rosszindulatú támadó felhasználhatja más támadások kivitelezésére vagy külső fejlesztőktől származó eszközök telepítésére, melyek információt tulajdonítanak el a rendszerről (pl. jelszavakat, hitelkártya számokat).

Ez olyan jelenség, amellyel gyakran találkozunk. Egyre több trójai program és hátsó ajtó jelenik meg, különböző céllal. A cél lehet a támadás elrejtése sok számítógépre, sok számítógép felhasználása egy célpont támadására vagy jelszavak, hitelkártya számok, e-mail címek stb. eltulajdonítása. Az ilyen rosszindulatú kódok által nyitott hátsó ajtók az emberi és digitális rosszindulatú támadók számára is felhasználhatók.

A WORM_MYDOOM.M egy hátsó ajtót helyez el és telepít a fertőzött rendszerekre. Megjelent egy olyan rosszindulatú kód is, amely ezen a hátsó ajtón keresztül terjed - a WORM_ZINDOS.A. E féreg célja, hogy sok számítógép megfertőzésével túlterheléses támadást intézzen a http://www.microsoft.com webhely ellen.

Legyen elővigyázatos: nem a látható kód az igazi fenyegetés, hanem a rejtett, például a trójai programok és hátsó ajtók.

Kulcsszavak: vírus Trend Micro

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Törj be a digitális élvonalba: Nevezd ’Az Év Honlapja’ pályázatra!

2024. november 5. 11:59

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51