Zdaniem specjalistów, ustawiczne pojawianie się nowych wersji Mydoom, Netsky oraz Bagle związane jest z rywalizacją ich twórców, którzy stale próbują udowodnić kolegom po fachu swoją wyższość. Pod koniec ubiegłego tygodnia w ciągu zaledwie 24 godzin w Internecie pojawiły się kolejne wersje wszystkich tych robaków (Netsky.F, Bagle.K oraz Mydoom.H) - a w miniony weekend Symantec wykrył dwie nowe mutacje Netsky. W kodzie dwóch nowych robaków eksperci odkryli wiadomości tekstowe - to właśnie te informacje sugerują, że powstawanie kolejnych wersji robaków jest wynikiem "wojny" twórców wirusów. Teksty te stanowią w sumie krótki dialog, którego treść sprowadza się do zarzucania autorom konkurencyjnych wirusów... ogólnej niekompetencji i indolencji twórczej.

Który najgroźniejszy?

Kilka tygodni temu, gdy w Sieci pojawił się robak MyDoom.A, producenci oprogramowania antywirusowego obwołali go "najgroźniejszym robakiem w historii Internetu" - rzeczywiście, MyDoom w pełni zasługiwał na to niechlubne miano. Robak wyjątkowo masowo dystrybuował się w Sieci (i wciąż to robi), a poprzez atak DoS zdołał dezaktywować stronę internetową firmy SCO. Później w Internecie pojawił się pierwszy "insekt" z rodziny Netsky - co ciekawe, mimo, iż teoretycznie jest on mniej groźny od MyDoom, to internauci odwiedzający nasz serwis przyznali, że to on bardziej utrudniał im życie. Z naszych dwóch sond, w których pytaliśmy, czy użytkownicy mieli na swoim komputerze robaka MyDoom lub Netsky, wynika, ze z MyDoomem zetknęło się ok. 20% uczestników ankiety, zaś z Netsky'em - ok. 47%.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Winni użytkownicy

"Robak MyDoom zyskał miano "króla robaków" głównie dzięki mediom - ktoś przedstawił problem w TV, inna stacja nie mogła być gorsza, prasa podobnie, radio itd. Robak ten rzeczywiście, miał swoje 5 minut, rozprzestrzenił się znacznie, ale tak naprawdę nie spowodował większych strat - nie niszczył plików, nie formatował dysków ani też nie zerował BIOSu w komputerze. Najbardziej ucierpiała na skutek ataku firma SCO, której strona została zablokowana, a także renoma firmy Microsoft, kiedy po raz kolejny użytkownicy jej systemu zostali narażeni na działanie robaka, oraz serwery pocztowe, które zostały przeciążone masowym rozsyłaniem się robaka." - tłumaczy Jakub Dębski z firmy MKS. Jego zdaniem, winą za epidemię robaków w znacznym stopniu można obarczyć użytkowników, którzy bez namysłu otwierają pliki przysyłane im w załącznikach e-maili.

"MyDoom jest robakiem bardzo prostym, nie innowacyjnym. Jest połączeniem kilku elementów, które występowały już w innych wirusach, a to, że tak się rozprzestrzenił, należy przypisać - żeby nie określić pejoratywnie - "niedoświadczeniu" użytkowników. Nie wykorzystuje on żadnych błędów systemu operacyjnego czy programu pocztowego, do działania wymaga uruchomienia go z załącznika. Jest jednym z pierwszych robaków, które wywołały epidemię wysyłając się w formie skompresowanej, jako archiwum ZIP. Być może dlatego, że najpopularniejszy aktualnie system - Windows XP - potrafi otworzyć pliki ZIP bez dodatkowego programu. Podobnie jest z robakiem NetSky - niczym nie różni się on od innych robaków, które pojawiły się wcześniej. Producenci oprogramowania antywirusowego muszą jednak reagować na coraz to nowe jego wersje, gdyż autor produkuje je jak z automatu." - powiedział nam J. Dębski.

Medialny atak wirusa

Podobnego zdania jest Piotr Kijewski z CERT Polska: "Wirus MyDoom cechował się niezwykle szybką i intensywną propagacją oraz udanym, w szczególności medialnie, atakiem DDoS na SCO. Jednakże uderzył głównie w instytucje i osoby, które nie korzystały lub nie miały uaktualnionego oprogramowania antywirusowego. Netsky (jak zresztą i Beagle), propaguje się mniej intensywnie - otrzymujemy kilka razy mniej przesyłek wirusa, niż w przypadku MyDoom.A." - mówi P. Kijewski.

"W tej chwili w sieci dominują trzy rodziny wirusów - Netsky, Beagle oraz MyDoom - możliwe jest tez zatem, ze nie wszyscy biorący udział w ankiecie byli tak naprawdę w stanie rozróżnić, z jakim wirusem maja do czynienia. Ponieważ o Netsky w ostatnim czasie jest bardziej głośno (poniekąd słusznie, gdyż odmiana Netsky.D była bardzo aktywna), mogli być skłonni przypisać wszystkie przesyłki i przypadki infekcji właśnie jemu. Na koniec jeszcze inne możliwe wyjaśnienie - MyDoom spowodował tyle szumu, ze więcej osób przygląda się temu, co otrzymuje oraz jest skłonna brać udział w ankietach" - mówi, komentując wyniki naszych ankiet, przedstawiciel CERT Polska.

Trudno na razie ocenić, jakie straty (wywołane np. poprzez przestoje w pracy firm) spowodowały wirusy, jednak kwoty te mogą być gigantyczne - dość powiedzieć, że straty spowodowane jedynie przez MyDoom w kilka dni po jego uaktywnieniu się szacowano na 250 mln. USD.

Więcej informacji na temat MyDooma i Netsky'a (oraz wszystkich innych "insektów") znaleźć można w sekcji Bezpieczeństwo IDG.pl, a także w poświęconych poszczególnym robakom wątkach:

http://www.idg.pl/bezpieczenstwo/

http://www.idg.pl/news/watek/37.html

http://www.idg.pl/news/watek/35.html

Wyniki sond, poświęconych poszczególnym wirusom:

MyDoom:http://www.idg.pl/sonda/226.html

Netsky: http://www.idg.pl/sonda/233.html