Here you have - propagandowy robak

Przed kilkoma dniami w Sieci pojawił się nowy robak e-mailowy, który błyskawicznie rozprzestrzenia się za pośrednictwem poczty elektronicznej i masowo wysyła spam. Teraz okazał się, że jego twórca - podpisujący się jako "Iraq Resistance" (Iracki Opór) - zaprojektował szkodnika jako narzędzie propagandowe.

Złośliwy program o nazwie "Here you have" pojawił się w Sieci w połowie ubiegłego tygodnia - a już w czwartek co 10. spamowy e-mail był wysyłany właśnie przez niego. Podczas pierwszych analiz szkodnika w jego kodzie znalezono zaszyty adres e-mail - nasi koledzy z amerykańskiego magazynu Computerworld wysłali na ów adres wiadomość z kilkoma pytaniami odnośnie motywów autora robaka. O dziwo, doczekali się odpowiedzi...

Antyamerykański robak

Programista podpisujący się jako Iraq Resistance napisał (lub napisała), że nie spodziewał się aż tak wysokiej skuteczności swojego programu i że jego "ofiary" powinny być w sumie zadowolone, bo program mógł być o wiele bardziej destrukcyjny. Dodał też, że robak stworzony został jako narzędzie propagandowe: "Napisałem go po to, by skuteczniej dotrzeć do ludzi ze swoim przekazem. Mogłem zaprogramować go tak, by poważnie uszkadzał zaatakowane komputery - ale nie zrobiłem tego. Mam nadzieję, że wszyscy zrozumieją, że nie jestem złym człowiekiem" - tłumaczy Iraq Resistance. Dalej autor robaka ostro krytykował amerykańskie władze za działania w Iraku.

Ale na tym się nie skończyło - w weekend w Sieci pojawiło się nagranie, w którym za pomocą syntetyzowanego głosu IR wyjaśniał, że jego działania są reakcją na plany Terry'ego Jonesa (amerykańskiego pastora, który kilka dni temu zapowiedział palenie Koranu w rocznicę zamachów z 11 września; ostatecznie do spalenia świętej księgi islamu nie doszło).

Mogło być gorzej?

Specjaliści ds. bezpieczeństwa przyznają, że "Here you have" faktycznie mógł być o wiele bardziej destrukcyjny i że z uwagi na jego prostotę nie mieli większych problemów ze zlikwidowaniem serwerów kontrolnych koordynujących atak robaka. Ale nie znaczy to, że robak nie był niebezpieczny - w zainfekowanych komputerach instalował backdoora, a na dodatek wykradał hasła.

Warto dodać, że była to już druga wersja tego szkodnika - pierwsza (zdecydowanie mniej skuteczna) wykryta została w sierpniu tego roku. W obu przypadkach mechanizm infekcji jest identyczny - do użytkownika dociera e-mail z osadzonym adresem URL. Po kliknięciu na niego internauta jest przekierowywany na stronę WWW, na której automatycznie uruchamia się skrypt instalujący w systemie szkodliwe oprogramowanie.

Z danych udostępnionych przez firmę Cisco wynika, że w miniony czwartek przez kilka godzin Here you have generował nawet 14% całego światowego spamu. Robak był szczególnie aktywny w amerykańskich firmach - na liście "ofiar" znalazły się m.in. Disney, Proctor and Gamble oraz Wells Fargo. Eksperci twierdzą, że był to największy atak mailowego szkodnika od czasów osławionego wirusa Anna Kournikova.

Dodajmy, że autor robaka na razie nie chce ujawnić swojej tożsamości i narodowości - w obawie o swoje bezpieczeństwo. Z analiz kodu źródłowego programu oraz treści pojawiających się w jego komunikacie wynika jednak, że może on być mieszkańcem Libanu.


Zobacz również