Chip 04/2004: antivirový koutek

 

I během února a března pokračovalo virové „šílenství“, které začalo na konci ledna. Nové varianty známých virů se objevovaly jako na běžícím pásu, frekvence aktualizací antivirových produktů se rapidně zvýšila.

 

V polovině února se objevil nový virus Win32:Netsky, rychle následovaný variantou Netsky-B, která byla mnohem úspěšnější. Do toho se vmísil i virus Win32:Beagle-B (nazývaný také Bagle či dokonce Bagel) a vzápětí i Win32:Mydoom-F. Tento červ je na rozdíl od ostatních destruktivní – na napadených discích maže s určitou pravděpodobností datové soubory (doc, xls, sav, jpg, avi, bmp).

 

Někteří autoři těchto virů (ať už jde o jednotlivce nebo o skupiny lidí) však těžce nesli konkurenci a úspěch ostatních, a proto mezi nimi vypukla na přelomu února a března dosud nevídaná válka, která někteými svými aspekty může připomínat válku gangů v Chicagu třicátých let J. Už dříve se v některých virech vyskytovaly pozdravy ostatním autorům virů, případně i posměšné poznámky na jejich adresu. Objevily se i viry, které byly schopny z napadeného systému odstranit nějaký jiný virus. Dosud však spolu nikdy autoři virů pomocí svých výtvorů takto otevřeně a naplno nebojovali. Do světa vypouštěli jednu variantu za druhou a tyto jejich produkty se vyznačovaly tím, že kromě odstranění soupeřícího viru ze systému obsahovaly i docela zajímavé vzkazy druhé straně. Například Win32:Netsky-C z 25. února obsahuje tento text: „<-<- we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz-->]MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware >- ->->“.

 

V následující tabulce je pak vidět přehled jednotlivých variant během jediného týdne:

27. února (pátek): Win32:Beagle-C

28. února (sobota): Win32:Beagle-D, Win32:Beagle-E

29. února (neděle): Win32:Netsky-D

1. března (pondělí): Win32:Beagle-F, Win32:Beagle-G, Win32:Netsky-E

2. března (úterý): Win32:Beagle-H, Win32:Beagle-I, Win32:Netsky-F, Win32:Beagle-J

3. března (středa): Win32:Mydoom-G, Win32:Beagle-K, Win32:Mydoom-H

4. března (čtvrtek): Win32:Netsky-G

 

Tento příval pak pokračoval i v následujících dnech. Je přitom zajímavé, jak rychle jsou autoři virů schopni nové varianty dostat mezi uživatele. Je velmi pravděpodobné, že k tomu používají vlastní síť počítačů, které obsahují „zadní vrátka“ (backdoor). Takových počítačů dnes bohužel existují zejména kvůli virům Win32:Sobig a Win32:Mydoom statisíce.

 

Win32:Netsky-D zahájil bitvu tím, že odstraňoval ze systému varianty viru Win32:Mydoom. Win32:Netsky-F pak začal „ničit“ všechny známé varianty Win32:Beagle (A až I) a navíc obsahoval vzkaz: „Skynet Antivirus – Bagle – you are a looser“. Hned nato se objevil Win32:Beagle-J, který obsahoval (ale nikdy nezobrazoval) následující text: „Hey,NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?“. Podobný text se objevil i ve variantě K a výhrady vůči autorovi viru Netsky jsou obsaženy i ve virech Win32:Mydoom-F a Win32:Mydoom-G. Odpověď na sebe nedala dlouho čekat – Win32:Netsky-G vzkazuje: „Netsky AntiVirus - Give up, bagle & mydoom, dude! You are fucking your mother! I want to meet you in the U,S.A, ..., and the you will know what pain is!“, Win32:Netsky-H zase „Skynet AntiVirus - MyDoom and Bagle are children“ a varianta I „Skynet AntiVirus - MyDoom and Bagle are spammer“.

 

Virus Win32:Beagle se v některých variantách (od verze F) začal šířit opravdu zvláštním způsobem: posílá se jako pakovaný ZIP soubor s heslem, přičemž pětiznakové heslo je uvedeno v textu zprávy. To obecně znamená, že soubor nemůže být otestován během cesty infikované zprávy směrem k příjemci (i když antivirové firmy už našly i zde řešení). Uživatel tedy musí takový soubor rozbalit (přitom zadat správné heslo) a následně spustit. To, že se i přes tato omezení virus úspěšně šíří, nedává některým lidem právě dobré vysvědčení...

 

Autoři virů dnes hrají své podivné hry na hřišti, které bohužel tvoří Internet a naše počítače. Jsem zvědav, jestli se v dohledné době podaří jejich aktivity zastavit. Faktem je, že pravidla a zvyklosti na tomto hřišti bohužel nabízejí jen málo nástrojů k tomu, aby byly jejich aktivity omezeny. Zkrátka na hřišti chybí hlídač, což je možné stále považovat za výhodu, ale je docela možné, že v budoucnu se bez takové instituce bohužel neobejdeme. Nejhorší je to, že autoři virů jsou dnes schopni vyvolat velmi rychle rozsáhlou epidemii. A až jednou vytvoří skutečně destruktivní virus, bude to pro řadu uživatelů opravdu těžká rána. Přitom ani velké úsilí antivirových firem či zodpovědných uživatelů nestačí – největším problémem jsou lidé, kteří žádnou ochranu nepoužívají – velmi úspěšně se dodnes například šíří virus Win32:Klez-H, který je už dva roky starý!