Dvanáctého května se objevil nový červ Win32:Fizzer, který se šíří elektronickou poštou a pomocí sdílené sítě Kazaa. Poštou se posílá na adresy z adresářů a nasbírané v souborech na disku, kromě toho se snaží „trefit“ náhodná jména uživatelů oblíbených freemailových serverů jako msn.com, yahoo.com, aol.com či hotmail.com. Červ navíc obsahuje dva trojany – backdoory (otevírající zadní vrátka do napadeného systému) pro služby IRC a AOL, dále prostředek pro vytváření útoku typu DoS (Denial of Service – zahlcení cílového počítače velkým množstvím nesmyslných požadavků). Kromě toho pracuje i jako keylogger (zaznamenává stisknuté klávesy) a dokonce jako malý web server, pomocí kterého je možno vzdáleně s počítačem manipulovat. Má i možnost vzdálené aktualizace sebe sama přes server, který je nyní mimo provoz. Zajímavostí je to, že červ je schopen sám sebe odinstalovat, pokud se v adresáři Windows nachází soubor se jménem Uninstall.pky.

Koncem května se objevil další červ, který pro své šíření využívá sdílené P2P (peer to peer) sítě. Win32:Holar-H posílá sebe sama na řadu adres, které na infikovaném počítači nalezne. Předmět zprávy i její text nabízejí v angličtině řadu zajímavostí, kterým většina uživatelů neodolá – prostě sociální inženýrství v praxi. Kromě toho se pod atraktivními jmény zkopíruje do sdíleného adresáře P2P sítí a pak už jen čeká, kdo si jej stáhne a spustí. Červ počítá, kolikrát byl na daném počítači spuštěn a po třiceti aktivacích se pokusí smazat soubory na lokálním disku, přičemž otevírá spoustu oken s texty jako „LOVE“, „PEACE“, „HOME“ či „HAPPINESS“.

Zdaleka největší rozruch však v květnu způsobil virus Win32:Sobig-B, který se objevil 17. května a už za dva dny dosáhl opravdu epidemického šíření. Řada antivirových firem na první pohled nerozpoznala jeho příbuznost s virem Win32:Sobig z letošního ledna, a tak ho zpočátku pojmenovala jako Win32:Palyh. Jedná se o masově se šířícího červa, který předstírá, že přichází z adresy support@microsoft.com, předmět zprávy je velmi stručný (např. Your details, Approved (Ref: 38446-263), Screensaver a podobně), vlastní text obsahuje anglicky text „Veškeré informace jsou v připojeném souboru“. Ten má rozšíření .PIF a po jeho spuštění je virus aktivován. Opět zde funguje sociální inženýrství – řada lidí je zvědavá, co jim technická podpora firmy Microsoft posílá, a na připojený soubor klikne. Červ je schopen se šířit i přes sdílené prostředky lokálních sítí, kopíruje se totiž do adresářů Startup na vzdálených discích (pokud je tam povolen zápis). Červ byl rozhodně nejrozšířenějším virem po zbytek května, šířil se opravdu velmi úspěšně. Vše skončilo 31. května, kdy virus deaktivuje sebe sama a dále se už nešíří.

Nevíme, co autora viru vedlo k přidání této podmínky, zato víme, že přesně v tento den se objevila další nová varianta tohoto viru – Win32:Sobig-C. I tento virus se poměrně rychle rozšířil a na čele nejrozšířenějších virů vystřídal svého staršího bratříčka (i když jeho nejvyšších hodnot zatím nedosáhl). Změnila se adresa odesílatele – ta teď zní bill@microsoft.com, ovšem daleko častěji je jako adresa odesílatele uvedena jiná adresa nalezená na infikovaném počítači. Lehce se změnily předměty zpráv a i vlastní text zprávy, který zde obsahuje anglický text „Prosím podívejte se do přiloženého souboru“. Červ opět obsahuje datum, při kterém se jeho šíření zastaví – tentokrát je to 8. června, tedy pouhý týden. Co se stane pak? Vy už při čtení tohoto textu možná víte, zda se objevila další varianta nebo ne, já to nyní netuším. Je jasné, že jejich autor s uživateli „hraje“ podivnou hru, a překvapuje mne, jak úspěšně má zvládnutou cestu k počátečnímu velice masovému šíření svých výtvorů.

To ale není vše – obě poslední varianty červa Sobig obsahují jednu zajímavou vlastnost – pokouší se z Internetu stáhnout a do systému nainstalovat trojského koně. Používají k tomu několik fixních adres na webech zdarma v USA, ale tyto weby neobsahují přímo program pro stažení, nýbrž jen další link na další stránky, kde se trojan nachází. Autor viru přitom tyto linky dynamicky mění – většinu času obsahují jen neškodný text, občas se však (na několik desítek minut) změní na funkční link, který ukazuje na zmíněného trojského koně. I tento trojský kůň je autorem viru neustále měněn a překompilováván, takže je velmi těžké jej získat a posléze detekovat. Přitom se kvůli počtu infikovaných počítačů zcela určitě alespoň na některé z nich dostane.

Jsem velmi zvědav, zda bude někdy autor těchto virů dopaden a zda se ukáže, jaké úmysly se za jeho chováním skrývají. A také na to, kolik variant se mu ještě předtím podaří vypustit. A Vás zatím prosím: pravidelně aktualizujte své antivirové programy a nespouštějte žádné programy, které dostanete elektronickou poštou! Bill Gates Vám určitě osobně psát nebude J !