Luty miesiącem zagłady?

Luty 2004 był miesiącem najwyższej aktywności wirusów i robaków pocztowych w historii Internetu - twierdzą zgodnie eksperci. Internautom najbardziej dały się we znaki różne mutacje Netsky'a, MyDooma, Bagle'a oraz Nachi. "Użytkownicy programów antywirusowych nie uaktualniają ich tak często, jak powstają nowe odmiany robaka, przez co postawiona zapora w postaci programu antywirusowego nie jest w pełni skuteczna." tłumaczy Jakub Dębski z firmy MKS. Nie bez znaczenia jest też fakt, że trwa "wojna" twórców wirusów, którzy w ramach rywalizacji, prześcigają się w tworzeniu nowych wirusów i ich mutacji. Możemy więc być pewni, że przygotowują kolejne, mordercze niespodzianki...

Zdaniem specjalistów, ustawiczne pojawianie się nowych wersji Mydoom, Netsky oraz Bagle związane jest z rywalizacją ich twórców, którzy stale próbują udowodnić kolegom po fachu swoją wyższość. Pod koniec ubiegłego tygodnia w ciągu zaledwie 24 godzin w Internecie pojawiły się kolejne wersje wszystkich tych robaków (Netsky.F, Bagle.K oraz Mydoom.H) - a w miniony weekend Symantec wykrył dwie nowe mutacje Netsky. W kodzie dwóch nowych robaków eksperci odkryli wiadomości tekstowe - to właśnie te informacje sugerują, że powstawanie kolejnych wersji robaków jest wynikiem "wojny" twórców wirusów. Teksty te stanowią w sumie krótki dialog, którego treść sprowadza się do zarzucania autorom konkurencyjnych wirusów... ogólnej niekompetencji i indolencji twórczej.

Który najgroźniejszy?

Kilka tygodni temu, gdy w Sieci pojawił się robak MyDoom.A, producenci oprogramowania antywirusowego obwołali go "najgroźniejszym robakiem w historii Internetu" - rzeczywiście, MyDoom w pełni zasługiwał na to niechlubne miano. Robak wyjątkowo masowo dystrybuował się w Sieci (i wciąż to robi), a poprzez atak DoS zdołał dezaktywować stronę internetową firmy SCO. Później w Internecie pojawił się pierwszy "insekt" z rodziny Netsky - co ciekawe, mimo, iż teoretycznie jest on mniej groźny od MyDoom, to internauci odwiedzający nasz serwis przyznali, że to on bardziej utrudniał im życie. Z naszych dwóch sond, w których pytaliśmy, czy użytkownicy mieli na swoim komputerze robaka MyDoom lub Netsky, wynika, ze z MyDoomem zetknęło się ok. 20% uczestników ankiety, zaś z Netsky'em - ok. 47%.

Wyniki ankiety

Wyniki ankiety

Winni użytkownicy

"Robak MyDoom zyskał miano "króla robaków" głównie dzięki mediom - ktoś przedstawił problem w TV, inna stacja nie mogła być gorsza, prasa podobnie, radio itd. Robak ten rzeczywiście, miał swoje 5 minut, rozprzestrzenił się znacznie, ale tak naprawdę nie spowodował większych strat - nie niszczył plików, nie formatował dysków ani też nie zerował BIOSu w komputerze. Najbardziej ucierpiała na skutek ataku firma SCO, której strona została zablokowana, a także renoma firmy Microsoft, kiedy po raz kolejny użytkownicy jej systemu zostali narażeni na działanie robaka, oraz serwery pocztowe, które zostały przeciążone masowym rozsyłaniem się robaka." - tłumaczy Jakub Dębski z firmy MKS. Jego zdaniem, winą za epidemię robaków w znacznym stopniu można obarczyć użytkowników, którzy bez namysłu otwierają pliki przysyłane im w załącznikach e-maili.

"MyDoom jest robakiem bardzo prostym, nie innowacyjnym. Jest połączeniem kilku elementów, które występowały już w innych wirusach, a to, że tak się rozprzestrzenił, należy przypisać - żeby nie określić pejoratywnie - "niedoświadczeniu" użytkowników. Nie wykorzystuje on żadnych błędów systemu operacyjnego czy programu pocztowego, do działania wymaga uruchomienia go z załącznika. Jest jednym z pierwszych robaków, które wywołały epidemię wysyłając się w formie skompresowanej, jako archiwum ZIP. Być może dlatego, że najpopularniejszy aktualnie system - Windows XP - potrafi otworzyć pliki ZIP bez dodatkowego programu. Podobnie jest z robakiem NetSky - niczym nie różni się on od innych robaków, które pojawiły się wcześniej. Producenci oprogramowania antywirusowego muszą jednak reagować na coraz to nowe jego wersje, gdyż autor produkuje je jak z automatu." - powiedział nam J. Dębski.

Medialny atak wirusa

Zestawienie najbardziej aktywnych robaków i wirusów

Zestawienie najbardziej aktywnych robaków i wirusów

Podobnego zdania jest Piotr Kijewski z CERT Polska: "Wirus MyDoom cechował się niezwykle szybką i intensywną propagacją oraz udanym, w szczególności medialnie, atakiem DDoS na SCO. Jednakże uderzył głównie w instytucje i osoby, które nie korzystały lub nie miały uaktualnionego oprogramowania antywirusowego. Netsky (jak zresztą i Beagle), propaguje się mniej intensywnie - otrzymujemy kilka razy mniej przesyłek wirusa, niż w przypadku MyDoom.A." - mówi P. Kijewski.

"W tej chwili w sieci dominują trzy rodziny wirusów - Netsky, Beagle oraz MyDoom - możliwe jest tez zatem, ze nie wszyscy biorący udział w ankiecie byli tak naprawdę w stanie rozróżnić, z jakim wirusem maja do czynienia. Ponieważ o Netsky w ostatnim czasie jest bardziej głośno (poniekąd słusznie, gdyż odmiana Netsky.D była bardzo aktywna), mogli być skłonni przypisać wszystkie przesyłki i przypadki infekcji właśnie jemu. Na koniec jeszcze inne możliwe wyjaśnienie - MyDoom spowodował tyle szumu, ze więcej osób przygląda się temu, co otrzymuje oraz jest skłonna brać udział w ankietach" - mówi, komentując wyniki naszych ankiet, przedstawiciel CERT Polska.

Trudno na razie ocenić, jakie straty (wywołane np. poprzez przestoje w pracy firm) spowodowały wirusy, jednak kwoty te mogą być gigantyczne - dość powiedzieć, że straty spowodowane jedynie przez MyDoom w kilka dni po jego uaktywnieniu się szacowano na 250 mln. USD.

Więcej informacji na temat MyDooma i Netsky'a (oraz wszystkich innych "insektów") znaleźć można w sekcji Bezpieczeństwo IDG.pl, a także w poświęconych poszczególnym robakom wątkach:

http://www.idg.pl/bezpieczenstwo/

http://www.idg.pl/news/watek/37.html

http://www.idg.pl/news/watek/35.html

Wyniki sond, poświęconych poszczególnym wirusom:

MyDoom: http://www.idg.pl/sonda/226.html

Netsky: http://www.idg.pl/sonda/233.html


Zobacz również