Chip
10/2005: antivirový koutek
V neděli čtrnáctého srpna se objevil nový červ, kterého antivirové
firmy pojmenovaly Zotob. Ten sice vychází ze starší rodiny Mytob (viz minulé
číslo Chipu), pro svoje šíření však nevyužívá klasickou cestu (například
elektronickou poštu), ale zneužívá bezpečnostní díru v systému Windows, konkrétně
chybu v komponentě Plug-and-Play. Velmi nepříjemné je to, že chyba byla
ohlášena a záplata, která ji odstraňovala, byla zveřejněna pouhých pět dní
předtím, než se tento červ objevil.
Zotob na napadeném počítači instaluje trojského koně, který pak umožňuje
neautorizovaný přístup. Pak spustí až 300 vláken, které se pokoušejí připojit
na náhodné IP adresy, zkoušejí, zda je otevřen port 445, a pokud ano, zda
počítač obsahuje výše zmíněnou bezpečnostní chybu. Pokud jsou tyto podmínky
splněny, je přes ftp skript stažen a následně spuštěn samotný červ. Přítomnost
červa se projevuje (podobně jako kdysi u červa Blaster) opakovaným restartem
napadeného počítače. Během několika dnů se objevilo několik dalších variant
viru Zotob, chybu v Plug-and-Play začaly využívat i další škodlivé
programy – některé varianty Ircbot, Rbot či Sdbot.
Červ je schopen se šířit na počítače, které mají nainstalován systém
Windows 2000. Nezasáhl proto většinu domácích uživatelů, kteří tento systém
příliš nepoužívají, a mají buď starší Windows 9x nebo novější Windows XP,
nekonala se tak velká epidemie, jako přinesly viry Blaster či Sasser. Velkou
ránu ale Zotob zasadil řadě firem, ve kterých právě systém Windows 2000 patří k nejpoužívanějším.
Řada firem má přitom velice striktní politiku, která zahrnuje firewall a
důkladné oddělení vnitřní sítě od Internetu. Počítače připojené do vnitřní sítě
pak už ale většinou žádný osobní firewall nemají. Při návrhu takových sítí se
většinou zapomíná na mobilní uživatele, používající notebooky, kteří se třeba
z domova nebo od zákazníků připojují zcela nechráněni – a takový stroj je
pak připojen přímo do lokální sítě ve firmě. Firewall je v takovém případě
samozřejmě zcela neúčinný a rozsáhlý bezpečnostní problém je na světě. Podobný
scénář jsme již zažili s červy SQLSlammer a Sasser, nicméně na
bezpečnostní politiku řady i velkých firem to mělo jen minimální vliv.
Některé firmy podceňují nutnost záplatování bezpečnostních děr
v operačním systému a jejich nasazení bezdůvodně odkládají. Jiné dokonce
záplaty instalují, ale často neprovedou restart stanic ani serverů, a tak je
opravený kód zcela nefunkční. Bezpečnostní opatření se musí zkrátka provádět
stoprocentně, jinak jsou neúčinná. Na vlastní kůži to poznala řada velkých
zejména amerických firem v čele s CNN: infikování jejich sítě vedlo
dokonce k přerušení vysílání! Postiženy byly i ABC či New York Times a
řada dalších. Ukazuje se, že právě ty škodlivé programy, které využívají buď
zcela neznámé či nedávno publikované bezpečnostní díry, mohou být krátkodobě
velice účinné. Dnes již program, který tuto chybu využívá, nemá takřka žádnou
šanci, v polovině srpna byla ale situace zcela jiná.
V pátek 26. srpna oznámila FBI, že v souvislosti s červem
Zotob byly zadrženy dvě osoby. Jedná se o osmnáctiletého Maročana Farida
Essebara (známého pod přezdívkou Diabl0), narozeného v Rusku, a o jedenadvacetiletého
Turka Atillu Ekici (používajícího přezdívku Coder). Obě přezdívky se vyskytují
přímo v těle červa Zotob. Ten se připojuje na IRC server
diabl0.turkcoders.net a obsahuje pozdrav „dobrému příteli Coderovi“. Je možné,
že sem vede i stopa virů Mytob, které byly pravděpodobně vytvořeny
v Turecku. Oba zadržení jsou spojeni se skupinou autorů bot programů,
nazývanou 0x90-team, a tato skupina stojí za řadou (i když ne za všemi) variant
viru Mytob. Uvidíme, zda se v budoucnu podaří rozbít tuto i další skupiny,
které za vytvářením škodlivých programů typu bot stojí, znepříjemňují život
miliónům uživatelů a mají z této nezákonné činnosti nemalé finanční
příjmy. Bohužel však i v případě, že se to podaří, na jejich místo rychle
nastoupí další, takže škodlivých programů se asi jen tak rychle na Internetu
nezbavíme...