Sasser féregvírus: újabb részletek

Többszázezer megfertőződött számítógép

A Sasser nevű féreg a múlt hét végén indult szaporodásnak, s igen gyorsan nagymennyiségű számítógépet volt képest ˝elfoglalni˝. Becslések szerint három nap alatt félmillió rendszer esett áldozatul, de érkezett olyan jelentés is, amely 200 ezer illetve 1 millió fertőzött PC-ről szólt. Azt sem szabad elfelejteni, hogy annak idején a Blaster elterjedtségét is alaposan ˝alálőtték˝. A tavaly nyár végén felbukkant kártevő Interneten való elszaporodásának mértékét pont egy nagyságrenddel becsülték alacsonyabbra (10 millió helyett 500 ezerre), mint ami a valóság volt.

Nem véletlenül képes gyors szaporodásra a Sasser: nem e-mailen keresztül, hanem egy nemrég ismertté vált biztonsági sebezhetőség kiaknázásával tudja magát nagy ütemben elterjeszteni. A Microsoft által a múlt hónap közepén kiadott összegző javítások átvizsgálásával ugyanis a féreg alkotója rájött, hogyan lehet kihasználni a sérülékenységet – sokan pedig még mindig nem frissítik rendszeresen operációs rendszereiket (és tűzfallal sem rendelkeznek), így nem csoda, hogy PC-jük áldozatul esett a Sassernek.

A vírusíró nem ma kezdte

Időközben fény derült arra, hogy szoros kapcsolat lehet a Netsky féreg alkotója és a Sasser írója között (az sincsen kizárva, hogy a két személy egy és ugyanaz). Talán mindenki számára ismert már, hogy a Netsky féreg rengeteg változatot produkált az elmúlt közel fél év alatt; alkotói önmagukat antivírus fejlesztőknek titulálták, akik a Beagle és a Mydoom nevű kártevők megállítása végett hozták létre vírusaikat.

Nos, Joe Stewart, a Lurhq hálózati védelemmel foglalkozó cég vezető biztonságkutatója szerint a két féreg kódjának elemzése arra enged következtetni, hogy ugyanazok állnak mindkét kártevő mögött. Stewart elmondta, hogy a Sasser és a Netsky ugyanazokat a kódokat alkalmazza az egyes funkciók kivitelezéséhez. Ugyanolyan sorrendben következik az utasítások nagy része, ráadásul a legutolsó Netsky-ban a következő üzenet is megtalálható: ˝Hey, av (antivirus) firms, do you know that we have programmed the sasser virus?!? Yeah thats true!˝ (Hé, antivírus cégek, tudjátok, hogy mi írtuk a Sasser vírust?!? Igen, ez igaz!)

Egyre veszélyesebb

Antivírus szakértők jelentése szerint az újonnan megjelent verziók (különösen a B változat) sokkal gyorsabban terjednek, mint az eredeti Sasser. Már olyan nagy vállalatok is megfertőződtek vele, mint az USA-beli Delta Air Lines légitársaság, ámbár az IT-biztonsággal foglalkozó szakemberek szerint inkább az otthoni felhasználók körében ˝népszerű˝ a féreg. A Network Associates jelentése értelmében az összes fertőzés mintegy 80 százaléka csapódik le ezen internetezőknél. Ennek több oka is lehet: egy vállalati felhasználó egy egész hálózatot (akár több tíz, száz számítógépet is) jelenthet, míg egy otthoni felhasználó átlagosan csak 1-3 PC-t tud a háta mögött; tehát az áldozatul esett komputerek száma nem feltétlenül tükrözi használóinak orientáltságát. Másrészről a vállalati számítógépek talán jobban védettek, hiszen az ezeken futó operációs rendszerek frissítésére (elméletileg) külön szabályzattal rendelkeznek, amit azért be szoktak tartani.