Coraz groźniejsze robaki

Wirus Mydoom, który zaatakował pod koniec stycznia br., zajmuje obecnie pierwsze miejsce na liście najbardziej aktywnych robaków w historii Internetu.

Wirus Mydoom, który zaatakował pod koniec stycznia br., zajmuje obecnie pierwsze miejsce na liście najbardziej aktywnych robaków w historii Internetu.

Mydoom - określany również jako Novarg i Shimgapi - zaatakował komputery pracujące pod kontrolą systemów Windows. W odróżnieniu od wielu innych robaków nie wykorzystywał jednak błędu w systemie. Użytkownik musiał go samodzielnie uruchomić. Jak wyrazili się poetycko eksperci, "Mydoom podążał za słońcem". W pierwszej kolejności zaatakował bowiem USA i Kanadę, później uderzył na Dalekim Wschodzie, aby kilka godzin później dotrzeć do Europy. Robak zainfekował ostatecznie systemy komputerowe w 142 krajach. Zdaniem rozmaitych szacunków Mydoom zainfekował 100-300 tys. komputerów. Doprowadził również do problemów z działaniem sieci, zauważalnych również w Polsce.

Według danych MessageLabs w szczytowym okresie co 12 wysyłany na całym świecie list elektroniczny był zarażony przez Mydoom.

Niektóre duże firmy otrzymywały w ciągu godziny ponad 160 tys. takich listów. W ten sposób Mydoom pobił poprzedniego lidera - Sobig.F, który w kulminacyjnym momencie swojego działania był obecny w co siedemnastej wiadomości. Już w kilka godzin po wykryciu wirusa liczba zainfekowanych przez niego listów elektronicznych przekroczyła milion.

Blokowanie na serwerze

Według szacunków firm antywirusowych Mydoom tylko do końca stycznia br. mógł spowodować straty w wysokości 250 mln USD. "Wszystko wskazuje na to, że firmy, które zainwestowały w oprogramowanie antywirusowe instalowane na serwerach pocztowych, nie zostały dotknięte kataklizmem" - twierdzi Russ Cooper, moderator listy dyskusyjnej NT Bugtraq. Firmy, które filtrują załączniki do listów elektronicznych i analizują ich treść, także nie miały większych problemów.

Mydoom atakował przede wszystkim użytkowników domowych i małe przedsiębiorstwa. Robak rozprzestrzeniał się także m.in. za pośrednictwem popularnej sieci peer-to-peer KaZaA. Firma Sharman Networks - producent oprogramowania klienckiego KaZaA Media Desktop - błyskawicznie udostępniła jego nową, wolną od wirusa wersję.

Wbudowany w program skaner antywirusowy BullGuard potrafił już poradzić sobie z wirusem Mydoom. Firmy zajmujące się produkcją oprogramowania antywirusowego raportowały jednak, że co najmniej kilkanaście firm z listy Fortune 500 także padło ofiarą Mydoom.

Choć Mydoom pobił niechlubny rekord ustanowiony przez Sobig.F, zdaniem ekspertów oba są do siebie bardzo podobne. Oba skanowały komputery ofiar, poszukując adresów poczty elektronicznej, na które następnie wysyłały swoje kopie. Oba były niewielkie i wykorzystywały do wysyłania wiadomości bardzo wydajnej motory SMTP (Simple Mail Transfer Protocol). Wreszcie oba zawierały kod konia trojańskiego, który dzięki otwieraniu portów TCP na zainfekowanych systemach umożliwiał hakerom przesłanie na takie maszyny dowolnych plików, a w efekcie na nieautoryzowany dostęp do ich zawartości.

Według firmy Symantec już w dwa dni po ataku ponad 2000 różnych systemów skanowało komputery podłączone do Internetu w poszukiwaniu maszyn zainfekowanych wirusem Mydoom. Zdaniem przedstawicieli Network Associates liczba ta sięgnęła nawet 2500. Skanowanie było prowadzone także przez administratorów, którzy poszukiwali we własnych sieciach ofiar robaka.

Dziki Zachód

Poza szybkim rozprzestrzenieniem się i umożliwieniem hakerom dostępu do komputera ofiary, Mydoom został zaprojektowany tak, aby wykonać ataki typu DoS (Denial of Service) na witrynę SCO Group. Firma błyskawicznie zdecydowała się wyznaczyć nagrodę za pomoc w schwytaniu osób odpowiedzialnych za powstanie robaka. Jej wartość wynosi 250 tys. USD. "Nie znamy źródła ani przyczyny tych ataków, jednak mamy pewne podejrzenia" - oświadczył Darl McBride, szef SCO. 1 lutego - wtedy właśnie zainfekowane komputery miały zostać wykorzystane do ataku DoS - witryna internetowahttp://www.sco.com była niedostępna.

Nie wiadomo jednak, czy to firma SCO wyłączyła profilaktycznie serwery, czy padła ofiarą ataku.

Wkrótce po pierwszej wersji Mydoom pojawiła się kolejna - Mydoom.B, która miała przeprowadzić atak nie tylko na serwery SCO, lecz także Microsoftu. Nowa wersja robaka dokonywała także modyfikacji adresów DNS w pliku o nazwie "hosts" w katalogu Windows. Sprawiało to, że było niemożliwe połączenie się z zainfekowanego komputera z adresami stron internetowych producentów oprogramowania antywirusowego. Tam zaś były umieszczane szczepionki przeciwko wirusowi.

Na szczęście, Mydoom.B nie powtórzył sukcesu protoplasty. Niemniej nagrodę za "głowę" jego autora - w wysokości 250 tys. USD - zaoferował Microsoft. Nie jest to nowy element strategii koncernu z Redmond w walce z wandalami komputerowymi. Przed kilkoma miesiącami Microsoft utworzył specjalny fundusz o wartości 5 mln USD, z którego będą wypłacane tego typu nagrody. Bezpośrednim powodem jego stworzenia była chęć zidentyfikowania twórców wirusów Blaster i Sobig. Dotąd strategia ta nie przyniosła efektu.

Dla Computerworld komentuje Piotr Kijewski specjalista w zespole CERT Polska

Zaplanowany atak

Naszym zdaniem Mydoom nie miał dużego wpływu na działanie sieci w Polsce. Nie spowodował istotnej degradacji usług internetowych. Niemniej zagrożenie jest poważne. Trudno obecnie stwierdzić, czy jest ono większe od poprzednich epidemii - Slammera, Blastera czy Sobiga. Kod Mydoom zawiera mnóstwo błędów. Praktycznie nie można więc przewidzieć jego zachowania.

Nowością Mydoom było przeprowadzenie skutecznego ataku przeciw konkretnej firmie. SCO zostało zmuszone do usunięcia wpisu www.sco.com z katalogu adresów DNS. Robak otwiera także liczne porty. Jaki będzie to miało ostateczny efekt, okaże się za kilka tygodni. Nie brak opinii, że wzrost ilości spamu w Internecie w ostatnim czasie zawdzięczamy epidemii Sobiga. Kontrola nad komputerami zainfekowanymi przez Mydoom mogła zostać przejęta przez hakerów, którzy wkrótce także wykorzystają je np. do rozsyłania spamu albo prowadzenia innych ataków.

Mydoom w liczbach
  • 250 mln USD - na tyle są szacowane straty spowodowane przez Mydoom

  • 1 mln - liczba listów wygenerowanych przez Mydoom w kilka godzin od rozpoczęcia epidemii

  • 100-300 tys. - na tyle szacuje się liczbę komputerów zainfekowanych przez Mydoom

  • 250 tys. USD nagrody proponuje SCO i Microsoft osobom, które pomogą zidentyfikować twórców Mydoom i Mydoom.B

  • 160 tys. - tyle listów elektronicznych z robakiem docierało co godzinę na serwery pocztowe największych firm na świecie

  • 2-2,5 tys. - tyle systemów skanowało komputery podłączone do Internetu w poszukiwaniu portów otwartych przez Mydoom

  • 142 - w tylu krajach systemy komputerowe zostały zainfekowane przez nowego wirusa

  • Co 12 list wysyłany w czasie szczytowej aktywności zawierał załączony kod Mydoom

TOP 200