Dzień bez robaka, dniem straconym?

Wydaje się, iż w ostatnim czasie twórcy wirusów i robaków z całego świata, usiłują ustanowić rekord Guinnesa – zarówno w ilości 'produkowanych' insektów, jak też ich uciążliwości dla przeciętnego internauty. Praktycznie nie ma dnia, kiedy nie słyszymy o nowej odsłonie robaka i nie jesteśmy nimi zasypywani. Prym wiedzie w tym względzie robak Netsky, którego kolejne dwie wersje pojawiły się w Sieci w tym tygodniu. Mowa tu o mutacjach Netsky.S oraz Netsky.T. Producenci oprogramowania antywirusowego przypuszczają, iż nowe odmiany robaka zostały już napisane przez kogoś innego.

Netsky.S oraz Netsky.T to już 19 i 20 odmiana robaka internetowego, który już od lutego panoszy się po skrzynkach pocztowych na całym świecie. Sposobem działania nie odbiegają one zbytnio od poprzednich wersji, pojawiając się w skrzynce odbiorczej użytkownika pod postacią wiadomości z losowo generowanym tytułem (przykładowo "Re: My details", "Request" lub "Thank You!") i załącznikiem w formacie PIF. Jedynym wyjątkiem w tej kwestii jest procedura zapisana w obu 'insektach', która powoduje wykorzystanie zainfekowanego komputera do przeprowadzenia ataku DoS (denial of service) na witryny internetowe www.cracks.am, www.emule.de, www.kazaa.com, www.freemule.net oraz www.keygen.us pomiędzy 14 a 23 kwietnia. Podobną metodę działania można już było spotkać w edycji Netsky.Q - na celowniku robaka znalazły się witryny sieci P2P KaZaA i Edonkey oraz witryna www.cracks.am (szerzej pisaliśmy o tym w artykule "Netsky.Q atakuje sieci P2P" - http://www.pcworld.pl/news/news.asp?id=65191 ).

Oba robaki próbują otworzyć na zainfekowanej maszynie port TCP 6789, 'nasłuchując' na nim instrukcji od potencjalnego atakującego, który uzyskując dostęp do takiego komputera może go wykorzystać do własnych celów (miedzy innymi wspomnianego już ataku DoS). Burzy to trochę wcześniejsze zapewnienia autorów o braku złych intencji i jednocześnie potwierdzać może przypuszczenie, iż doszło do opublikowania kodu źródłowego robaka w Sieci i wykorzystania go przez inne osoby do tworzenia kolejnych mutacji. Brakuje również zarzutów pod adresem 'konstruktorów' robaka Bagle, które pojawiały się już we wcześniejszych odmianach.

Tymczasem, jak wynika z raportu firmy Panda Software Polska, marzec upłynął pod znakiem dominacji wariantów Netsky.B oraz D. Netsky.D stanowił blisko 15 % wszystkich zakażeń w skali globalnej, natomiast Netsky.B osiągnął poziom 11 % zarażonych komputerów na całym świecie. W Polsce pierwsza pozycja (z wynikiem 13,5 %) należała tym razem do odmian Bagle z załącznikiem w postaci zabezpieczonego pliku ZIP (Baglepwd.zip występował od wariantu Bagle.G). Robak ten zajął również trzecie miejsce w światowym rankingu (7,52 % infekcji). Mydoom.A, który odpowiedzialny jest za największą epidemię wirusową w historii, zajmuje 8 miejsce w światowym rankingu z 4 % współczynnikiem zakażeń.

O komentarz poprosiliśmy również Jakuba Dębskiego z firmy MKS: "Sygnały o obecności odmian S oraz T docierają do nas, ale nie można mówić o epidemii. Dużo więcej krąży po Internecie robaków Netsky.Q, i wciąż Netsky.D. Najszybciej mnożącą się wersją była właśnie wersja D, która w przeciwieństwie do poprzednich wersji nie przesyłała się w formie archiwum ZIP. Otrzymaliśmy dużo informacji o zablokowanych serwerach pocztowych na skutek działalności właśnie tej odmiany."


Zobacz również