Dzień bez robaka, dniem straconym?
- Sebastian Górski,
- 07.04.2004, godz. 12:18
Wydaje się, iż w ostatnim czasie twórcy wirusów i robaków z całego świata, usiłują ustanowić rekord Guinnesa – zarówno w ilości 'produkowanych' insektów, jak też ich uciążliwości dla przeciętnego internauty. Praktycznie nie ma dnia, kiedy nie słyszymy o nowej odsłonie robaka i nie jesteśmy nimi zasypywani. Prym wiedzie w tym względzie robak Netsky, którego kolejne dwie wersje pojawiły się w Sieci w tym tygodniu. Mowa tu o mutacjach Netsky.S oraz Netsky.T. Producenci oprogramowania antywirusowego przypuszczają, iż nowe odmiany robaka zostały już napisane przez kogoś innego.
Netsky.S oraz Netsky.T to już 19 i 20 odmiana robaka internetowego, który już od lutego panoszy się po skrzynkach pocztowych na całym świecie. Sposobem działania nie odbiegają one zbytnio od poprzednich wersji, pojawiając się w skrzynce odbiorczej użytkownika pod postacią wiadomości z losowo generowanym tytułem (przykładowo "Re: My details", "Request" lub "Thank You!") i załącznikiem w formacie PIF. Jedynym wyjątkiem w tej kwestii jest procedura zapisana w obu 'insektach', która powoduje wykorzystanie zainfekowanego komputera do przeprowadzenia ataku DoS (denial of service) na witryny internetowe www.cracks.am, www.emule.de, www.kazaa.com, www.freemule.net oraz www.keygen.us pomiędzy 14 a 23 kwietnia. Podobną metodę działania można już było spotkać w edycji Netsky.Q - na celowniku robaka znalazły się witryny sieci P2P KaZaA i Edonkey oraz witryna www.cracks.am (szerzej pisaliśmy o tym w artykule "Netsky.Q atakuje sieci P2P" -http://www.pcworld.pl/news/news.asp?id=65191 ).
Oba robaki próbują otworzyć na zainfekowanej maszynie port TCP 6789, 'nasłuchując' na nim instrukcji od potencjalnego atakującego, który uzyskując dostęp do takiego komputera może go wykorzystać do własnych celów (miedzy innymi wspomnianego już ataku DoS). Burzy to trochę wcześniejsze zapewnienia autorów o braku złych intencji i jednocześnie potwierdzać może przypuszczenie, iż doszło do opublikowania kodu źródłowego robaka w Sieci i wykorzystania go przez inne osoby do tworzenia kolejnych mutacji. Brakuje również zarzutów pod adresem 'konstruktorów' robaka Bagle, które pojawiały się już we wcześniejszych odmianach.
O komentarz poprosiliśmy również Jakuba Dębskiego z firmy MKS: "Sygnały o obecności odmian S oraz T docierają do nas, ale nie można mówić o epidemii. Dużo więcej krąży po Internecie robaków Netsky.Q, i wciąż Netsky.D. Najszybciej mnożącą się wersją była właśnie wersja D, która w przeciwieństwie do poprzednich wersji nie przesyłała się w formie archiwum ZIP. Otrzymaliśmy dużo informacji o zablokowanych serwerach pocztowych na skutek działalności właśnie tej odmiany."