Chip: antivirový koutek

Chip 03/2004: antivirový koutek

Konec ledna přinesl opravdovou virovou smršť. Ta byla podobná situaci, která nastala v srpnu loňského roku, a v několika ohledech dokonce ještě silnější.

Vše začalo v neděli 18. ledna večer, kdy se objevil první exemplář viru Win32:Beagle. Ten se šířil tak, že rozesílal sebe sama ve zprávách s předmětem „Hi“ a textem Test. Připojený infikovaný soubor měl ikonu programu Kalkulačka a po svém spuštění opravdu tento program spustil, a tak maskoval svoji činnost. Červ se značně rozšířil a po několik dní byl opravdovou hrozbou. Jeho šíření ale bylo omezeno jen do 28. ledna, a tak dnes již takřka vymizel.

V pondělí 26. ledna se objevilo hned několik nových virů: nejdříve to byl Win32:Dumaru-Y a jen o několik hodin později lehce polymorfní Win32:Mimail-Q. Pravé šílenství ale vypuklo až večer – to se hlavně v USA začal šířit nový nebezpečný červ nazývaný Mydoom (zpočátku nazývaný také Novarg či Shimg). Po několika hodinách bylo zcela jasné, že se jedná o epidemii největšího rozsahu. A i když antivirové firmy zareagovaly velmi rychle, tento červ se během krátké doby rozšířil natolik, že způsobil nejrozsáhlejší epidemii, s jakou jsme se dosud setkali.

Win32:Mydoom je červem, který se šíří jednak pomocí elektronické pošty, a jednak přes sítě Peer to Peer. Do infikovaného počítače také instaluje trojského koně typu backdoor (zadní vrátka). Červ vytváří kopie sebe sama ve sdílených adresářích sítě Kazaa a posílá infikované zprávy elektronickou poštou. Přitom falšuje adresu odesílatele, v předmětu zprávy používá jednu z následujících možností: „Error“, „Hello“, „Hi“, „Mail Delivery System“, „Mail Transaction Failed“, „Server Report“, „Status“ nebo „Test“. Připojený soubor je dlouhý 22528 slabik a má příponu "bat", "cmd", "exe", "pif" nebo "scr". Může být také zkomprimován v souboru typy ZIP, který je pak dlouhý 22788 slabik. Červ hledá e-mailové adresy dalších obětí v souborech na disku, neposílá se ale na vybrané domény - hlavně antivirových a softwarových firem, univerzit a internetových autorit.

Po spuštění červ otevře program Notepad a zobrazí v něm nesmyslná data. Pak nainstaluje knihovnu shimgapi.dll do systémového adresáře Windows. Knihovna je ve skutečnosti trojským koněm, který umožňuje vzdálené ovládání napadeného počítače, a to včetně nahrávání a instalování dalších programů. Otevírá porty TCP v rozmezí 3127 - 3198 a pak je schopen přes ně komunikovat. Worm zkopíruje sebe sama do systémového adresáře Windows pod jménem taskmon.exe.

Mydoom je vytvořen tak, že od 1. února provede útok typu DDoS (distributed denial of service) na server www.sco.com. Dne 12. února pak ukončí veškeré své aktivity. Instalovaný trojský kůň však v napadeném počítači zůstane aktivní i po tomto datu.

Je zajímavé, že tento červ nepoužívá žádnou ze známých technik a bezpečnostních děr, které umožňují automatické spouštění programu již při prohlížení zprávy. Spoléhá naopak pouze na „sociální inženýrství“ – na to, že zpráva uživatele zaujme natolik, že připojený soubor spustí. Je až s podivem, jak rychle a úspěšně se tento červ rozšířil! Po čtrnácti dnech dokonce počet infikovaných zpráv přesáhl dosavadní rekord, který v létě loňského roku vytvořil virus Sobig-F. Ten ale posílal z infikovaného počítače velké množství zpráv každému adresátovi, takže jím generovaných zpráv bylo řádově více než infikovaných počítačů. Mydoom se zkrátka stal nejrozšířenějším virem v historii. To mělo za následek i to, že napadená doména www.sco.com byla pod tak velkým útokem požadavků, že byla dočasně vymazána ze světa. Její vlastníci porážku uznali i tím, že z DNS byl dočasně odstraněn záznam o její existenci. Útok je naštěstí omezen jen do 12. února, pak by se mělo vše vrátit k normálu. Problémem ale zůstává obrovské množství počítačů, které obsahují výše zmíněného trojského koně a které jsou tak otevřeny následujícím útokům. A že se nejedná jen o teoretické nebezpečí, je jasné už dnes.

Hned o dva dny později se objevila nová varianta červa Mydoom-B. Hlavní rozdíl byl v tom, že kromě útoku na www.sco.com útočil také na webový server www.microsoft.com. Díky chybě v něm obsažené se ale žádný útok nekonal, navíc jeho rozšíření nedosáhlo ani zlomek rozšíření jeho úspěšnějšího staršího bratříčka.

Po čtrnácti dnech od prvního výskytu červa Mydoom se objevil první virus, který pro svoje šíření využívá zadních vrátek, otevřených právě tímto červem. Nese označení Doomjuice a nešíří se jinak než komunikací s trojským koněm. Dnes ještě není jasné, zda se mu podaří proniknout na většinu z více než milionu postižených počítačů nebo ne – je ale jasné, že podobných pokusů se v budoucnu objeví více. Armáda počítačů, které naslouchají a jsou připraveny reagovat na povely, představuje totiž velké pokušení pro autory virů. Doomjuice navíc ukládá na napadené počítače zdrojový kód viru Mydoom, a tak je možno čekat i výskyt dalších variant, které úpravou těchto souborů vzniknou.

Jak předpovídala řada odborníků, rok 2004 začal opravdu ve velkém stylu. Bude zajímavé sledovat, zda se i v dalších měsících bude situace vyvíjet podobně hekticky jako v lednu, nebo zda konečně uživatelé přestanou spouštět neznámé programy, které jim poštou dorazí. To bychom ale byli asi přílišnými optimisty!