2003 – növekvő vírusaktivitás, kevesebb kár

A Trend Micro több mint 130 kis mértékben vagy közepesen veszélyes vírusról tett bejelentést 2003. augusztus 1-ig, ebből húsz július hónapban jelentkezett. Az utolsó fenyegetés, a Mimail a hónap legvégén jelent meg (Ázsiában augusztus 1-én), és jelenleg 2003 negyedik legelterjedtebb vírusa. A közepes és nagy kockázatot jelentő vírusokról szóló riasztások világszerte mintegy 40%-os növekedést mutattak 2003 első felében 2002 azonos időszakához képest. A legutóbbi támadások során kevesebb gép fertőződött meg, a károk is kisebbek voltak, és a támadás lefolyása is rövidebb volt, mint a nagy támadások, például a Melissa vagy a Love Letter férgek esetében három-négy évvel ezelőtt.

Jamz Yaneza, a Trend Micro TrendLabs vírusvédelmi tanácsadója szerint ennek a trendnek két oka van: „A valódi kódolási ismeretekkel rendelkező vírusírók számának folyamatos csökkenése több teret nyújt az amatőrök számára, akik a régebbi vírusok újrafeldolgozott változatait készítik, általában sikertelenül.” Yaneza nem tartja sokra az általuk használt, elcsépelt, társas kapcsolatok kihasználásán alapuló trükköket, amelyekkel a felhasználókat rá próbálják venni arra, hogy rákattintsanak egy fertőzött file-ra. Ilyen trükk lehet egy rossz minőségű üzenet, amely híres emberek meztelen képeit vagy PC-s játékok kódjait ígéri. Ez egyre csekélyebb eredményt hoz 2003-ban, hacsak nem párosul valamilyen új trükkel, például az e-mailes csalással.

„Ennek a trendnek sokkal fontosabb tényezője a kiváló minőségű vírusvédelmi és e-mail szűrő rendszerek elterjedt alkalmazása, amely nagymértékben csökkentette a vírusok hatását a vállalati hálózatokra.” – folytatja Yaneza – „A tavalyi év legelterjedtebb vírusai a nagyvállalatok megfertőzésével és azok e-mail rendszereinek nagysebességű globális elosztórendszerként történő használatával érték el céljukat. Manapság szinte minden nagy cég, valamint a kicsik és közepesek legtöbbje, rendelkezik hálózati vírusvédelemmel, amely gyakran percenként frissíthető az új támadás megindulásakor. Az általános vírusokat a rendszer azonnal leállítja az átjáró szintjén, így azok soha nem érik el a céges felhasználót e-mailben.”

Természetesen Yaneza elismeri, hogy az általános trend mellett jelentős kivételek is folyamatosan megjelennek. 2003-ban ilyen kivétel a Lovgate.F féreg, amely március óta vezeti a Trend Micro leggyakoribb vírusokat mutató listáját, és a Slammer féreg, amely januárban villámgyorsan elterjedt az Interneten, a Microsoft SQL szerverek megfertőzésével. A vírusvédelemmel nem rendelkező, illetve nem rendszeresen frissítő otthoni felhasználók tengerében a kellemetlen és hosszú lefolyású vegyes fenyegetések, például a Klez.H és Yaha.G a végtelenségig keringenek, és időnként átcsúsznak a céges hálózatok kapuin is.

A Trend Micro 2003. első felére vonatkozó vírusgyakorisági listájának első tíz szereplőjéből kilenc féreg és/vagy féregszerű vegyes fenyegetés. Az egyetlen kivétel, a JS_Noclose.A, egy rosszindulatú, de nem romboló Java parancsfile, amely a webes forgalomban található, és legtöbbször a rosszhírű tartalmat kínáló weboldalakba beágyazva jelenik meg. Ennek a kódnak általában az a célja, hogy átvegye az irányítást a böngésző felett, és más internetes célok felé irányítsa azt.

Miközben az e-mail maradt a támadások fő vonala, a két leggyakoribb fenyegetés „hálózati” féreg volt, amelyek egyike egyáltalán nem tartalmazott e-mail összetevőt. A Lovegate.F és FunLove férgek az átjáró alapú e-mail védelmet a hálózati kapcsolatokon, így például a megosztott és csatlakoztatott meghajtókon kerülik ki, és a helyi (LAN) hálózaton keresztül terjednek el. Ha bejutottak, akkor percek alatt számítógépek ezreit képesek megfertőzni, elpusztításuk pedig komoly nehézségekkel jár. Ha a tisztítás nem teljes, akkor bármikor újrafertőzhetik a teljes hálózatot. „Ezek a makacs fenyegetések kiemelik az olyan vírusvédelem értékét, amely a vállalati hálózat minden szintjét védi, nem pedig csak az átjárót veszi célba.” – mondta Yaneza. A Lovgate.F e-mailen keresztül is terjed, és sok korábbi fenyegetés bevált trükkjeinek kombinációjával operál, ami megmagyarázza, hogy ilyen gyorsan feljutott a lista tetejére.

A céges e-mail védelem áttöréséért folytatott küzdelemben a vírusírók egyre találékonyabbak, és 2003-ban újabb csatornákat adnak vírusaikhoz, mint például a P2P file-megosztó hálózatok, mint a Kazaa, az azonnali üzenetküldő szolgáltatások, mint az ICQ, valamint az IRC (Internet Relay Chat) alkalmazások.

A meglepően elterjedt januári Slammer támadás egy sokkal erőteljesebb megközelítést mutat: a vállalatok által széles körben használt, nélkülözhetetlen platformok beépített sérülékenységének kihasználását. A Slammer féreg a Microsoft SQL Server egy régi biztonsági résének kihasználásával az Internet legnagyobb sérülését okozta a Code Red óta. A szállítók egyre gyorsabban bocsátják ki a javítócsomagokat az ilyen biztonsági rések betöméséhez, és a rendszergazdák egyre gyorsabban próbálják bevezetni azokat. Mivel egyre több sérülékeny pontot fedeznek fel évről évre, szinte lehetetlen feladattá vált az összes rés befoltozása.

2003. júliusában megerősítették a Windows operációs rendszer egyik hiányosságát, mely a munkaállomás és szerver verziókat egyaránt érinti. A biztonsági szakértők tudtak a problémáról, és a Gartner például ezt a rést “nagyon magas” kockázatúnak ítélte meg, mivel könnyen kihasználható, hatása széleskörű, és kínálja magát a parancsfile-okkal történő támadásokhoz. A Microsoft a problémát puffertúlcsordulásként írta le a szolgáltatások más hálózati számítógépről történő kérésére használt Remote Procedure Call (RPC) protokollban. A hiányosság kihasználásával a hackerek távolról átvehették egy Windows alapú PC irányítását, weblapokat változtathattak meg, formázhatták a merevlemezt, vagy új felhasználókat adhattak a helyi Rendszergazdák csoporthoz. Az ingyenes biztonsági csomagok és a biztonsági ajánlások már elérhetők a Microsoft letöltő központján keresztül.
a Slammer féreg, amely januárban villámgyorsan elterjedt az Interneten, a Microsoft SQL szerverek megfertőzésével. A vírusvédelemmel nem rendelkező, illetve nem rendszeresen frissítő otthoni felhasználók tengerében a kellemetlen és hosszú lefolyású vegyes fenyegetések, például a Klez.H és Yaha.G a végtelenségig keringenek, és időnként átcsúsznak a céges hálózatok kapuin is.