Morderczy kochankowie

Epidemia wirusa XRomeo & XJuliet udowodniła, że Polska jest krajem o wyjątkowo niskim poziomie antywirusowego bezpieczeństwa. "Elektroniczni kochankowie" przez kilka dni siali postrach w polskim Internecie.

Epidemia wirusa XRomeo & XJuliet udowodniła, że Polska jest krajem o wyjątkowo niskim poziomie antywirusowego bezpieczeństwa. "Elektroniczni kochankowie" przez kilka dni siali postrach w polskim Internecie.

W ostatnich dniach większość krajowych serwerów pocztowych została poważnie przeciążona na skutek samoczynnego rozsyłania się wirusa XRomeo & XJuliet, który w czwartek, 30 listopada br. zainfekował polski Internet. XRomeo & XJuliet to mutacja wirusa rodzimej produkcji o podobnej nazwie. W nowej wersji jest on jednak skuteczniejszy i silniejszy, a specjaliści uważają, że robak jest dużo groźniejszy od pamiętnego I LOVE YOU.

Wirus rozprzestrzeniał się pocztą elektroniczną w formie załączników do listów. Rozsyłał się samoczynnie, korzystając z książki adresowej zakażonej osoby, zarażając kolejne komputery bez wiedzy użytkownika - problem dotyczył jednak wyłącznie użytkowników programów pocztowych z rodziny Outlook. Wirus rozpoznać można po używanych przez niego kilkunastu tytułach wiadomości pocztowych. Najczęściej spotykane to: Romeo & Juliet, where is my Juliet, where is my Romeo. Jeśli komputer został zainfekowany, przy próbie otwarcia plików wirus często bezpowrotnie je niszczył.

Romeo zawierał listę 18 serwerów, przez które miał się rozprzestrzeniać. Listę utworzył autor wirusa, który w kodzie Romeo zapisał ich adresy IP. Wkrótce do tej listy dołączyły kolejne serwery. XRomeo & XJuliet był rozsyłany m.in. przez jeden z największych serwerów pocztowych w Polsce – Onet. Przyszedł on pocztą elektroniczną do kilku pracowników portalu, którzy otwierając listy zainfekowali całą sieć i umożliwili wirusowi rozprzestrzenienie się wśród klientów Onetu. Romeo rozprzestrzeniał się z gigantyczną szybkością, dlatego konieczne były szybkie działania antywirusowe. „Nasi pracownicy natychmiast zareagowali na rozsyłany wirus i w ciągu kilku godzin założyli filtry na pocztę wychodzącą i wchodzącą. Od naszych użytkowników dostaliśmy podziękowania za szybką reakcję” – twierdzi Magda Maliszewska z Onetu.

W czwartek 30 listopada od godziny 21.00 Onet był już bezpieczny - serwery pocztowe portalu zostały zabezpieczone specjalnie przygotowaną łatą. Część użytkowników skarżyła się jednak na spóźnioną reakcję portalu, gdyż otrzymali oni wirusa jeszcze przed założeniem filtrów (niektóre listy z wirusem pochodziły od zainfekowanych skrzynek pocztowych personelu Onetu). Pracownicy portalu nie chcieli jednak zdradzić, ile zainfekowanych listów przepuścili, a ile ich filtry zatrzymały. Tymczasem z informacji uzyskanych z Wirtualnej Polski wynika, że w ciągu 7 dni zabezpieczony firmowy serwer pocztowy zatrzymał ok. 18 tys. zainfekowanych listów. Można zatem przypuszczać, że w przypadku Onetu epidemia miała co najmniej podobny rozmiar.

"Od kiedy uruchomiony został skaner antywirusowy (1 grudnia), nasz serwer pocztowy nie przepuścił ani jednego listu z wirusem XRomeo & XJuliet. Baza danych o robaku jest cały czas uaktualniana" – mówi Andrzej Dutkiewicz, administrator poczty w portalu Wirtualna Polska. Skaner działa w czasie rzeczywistym i eliminuje wszystkie znane wirusy mailowe. Dziennie usuwa on kilka tysięcy zainfekowanych listów przesyłanych z całego świata - nadawca i odbiorca listu są informowani o tym fakcie.

Duże straty

Pojawienie się wirusa wprowadziło wiele zamieszania także wśród firm antywirusowych. „Infekcja wirusem zmusiła naszych pracowników do wielogodzinnej pracy przy ochronie przed XRomeo & XJuliet. Otrzymaliśmy około 150 zgłoszeń telefonicznych i 100 pocztą elektroniczną” – twierdzi Kamil Konieczny z firmy MKS. W pierwszym dniu pojawienia się wirusa firma Arpex, która jest przedstawicielem producenta programów antywirusowych AVP w Polsce, odnotowała 3,5 tys. prób pobrania uaktualnienia zabezpieczeń przed internetowym robakiem. „W dniu kiedy pojawił się wirus, zanotowaliśmy, że około 40 % firm, które korzystają z naszego oprogramowania, zetknęło się z tym problemem. Jednak wirus nadal się rozprzestrzenia” – uważa Andrzej Pilasz, właściciel firmy Arpex.

Radosław Korbecki, prezes zarządu w firmie InDesign-Z (zajmującej się realizacją kampanii reklamowych w Internecie i obsługującej serwer www.idz.pl), nie jest jeszcze w stanie ocenić strat, jakie poniosła jego firma w związku z infekcją. Z pewnością są to 4 dni pracy poświęcone na walkę z wirusem, którego agresywność okazała się wręcz oszałamiająca. Serwer www.idz.pl był jednym z osiemnastu „podstawowych” serwerów, przez które wirus w zamierzeniach twórcy miał się rozmnażać. „Odnotowaliśmy ok. 0,8 mln prób wysłania wiadomości z wirusem, lecz wszystkie zostały zablokowane” - twierdzi Radosław Korbecki.

Największe straty ponieśli użytkownicy biurowi, także redakcje gazet i czasopism, gdyż wirus atakuje m.in. dokumenty tekstowe. Artur Szuba, wydawca Dziennika Choszczeńskiego, wirusa otrzymał w liście od pracownika Onetu. Uważał tę korespondencję za bezpieczną i otwierając list zaraził wszystkie komputery w redakcji. "Zbyt późno zaczęliśmy działania antywirusowe. Potem pozostało nam tylko sformatowanie dysków" - twierdzi Artur Szuba. Dziennik stracił wiele plików niezbędnych do przygotowania kolejnego wydania gazety, a działająca pod jego egidą kawiarenka internetowa została zablokowana na 2 dni.

Powrót Romea?

Specjaliści uważają, że aktualne wersje programów antywirusowych są w stanie ochronić komputery przed niebezpieczeństwem infekcji wirusem XRomeo & XJuliet. Ewentualne pojawienie się zmodyfikowanego robaka internetowego, opartego na tym samym mechanizmie, jest jednak bardzo prawdopodobne. Twórca wirusa może przepisać swojego robaka tak, aby ominąć zabezpieczenia części programów antywirusowych, ominąć reguły filtrujące poprzez zmianę nazw załączonych plików i wykorzystać ponownie luki w systemie bezpieczeństwa programu MS Outlook.

Warto zaznaczyć, że rozprzestrzenianiu się wirusa mogą sprzyjać szczególnie rozbudowane książki adresowe użytkowników. Osoby, które zgromadziły w swych książkach adresowych nawet po 300 adresów, były doskonałym „przekaźnikiem” i rozpowszechniły wirusa wśród internautów, z którymi utrzymują lub kiedykolwiek w przeszłości utrzymywały kontakt e-mailowy. Zdaniem specjalistów, problem wynika również z niewiedzy użytkowników MS Outlook. Nie potrafią oni odpowiednio skonfigurować oprogramowania, tak aby wykorzystać wszystkie dostępne w nim opcje bezpieczeństwa ani nie stosują dostępnych łat. Nie wszyscy użytkownicy wiedzą bowiem, że aby ułatwić ochronę przed większością wirusów rozprzestrzeniających się jako załączniki poczty e-mail, Microsoft wprowadził rozszerzenie zabezpieczeń programów Microsoft Outlook98 i 2000. Zabezpieczenia te dostępne są na stronie http://www.microsoft.com/downloads/.

Polski trop

Najgroźniejsze okazują się wirusy, które powstały i uaktywniają się w Polsce. Wirus, który ukazuje się poza granicami kraju, u nas pojawia się z kilkugodzinnym opóźnieniem - specjaliści z rodzimych firm zajmujących się ochroną antywirusową otrzymują sygnał z zagranicy o pojawieniu się wirusa i mają czas na opracowanie stosownej „szczepionki”. Nie zawsze potrafią jednak uchronić swoich klientów przed robakiem rodzimej produkcji – w takich przypadkach zawsze będą działać z pewnym opóźnieniem. Według Kamila Koniecznego (MKS), aby ochronić się w przyszłości przed podobnym problemem, należy śledzić udostępnianie najnowszych łat przez Microsoft. Pobranie oraz instalacja łaty powinny zapobiec automatycznemu uruchomieniu się wirusa. Nie należy również otwierać wiadomości, których pochodzenie nie jest znane.

Internauci uważają, że Polska ma dużą szansę stać się prawdziwą wylęgarnią wirusów. Posiadamy równie utalentowanych programistów jak na Zachodzie, którzy na razie są nieuchwytni dla wymiaru sprawiedliwości. To właśnie oni często są twórcami niemiłych wirusowych niespodzianek. W ostatnich dniach pojawił się kolejny wirus, który "korzysta" z Outlooka - Prolin.A, imitujący film wykonany w technologii Flash. Najprawdopodobniej jego autorem jest także Polak, wielbiciel systemu Linux. Wydaje się, że celem Pingwina (pseudonim hakera) jest zniechęcenie użytkowników Internetu do korzystania z aplikacji Microsoft Outlook. Zdaniem specjalistów, obecna forma robaka nie jest zbyt groźna, ponieważ nie posiada funkcji kasujących pliki. Można się jednak spodziewać kolejnej, groźniejszej wersji tego wirusa.

"Pozostaje mieć nadzieję, że nasz aparat prawny usprawni swoje działania w dziedzinie przestępstw internetowych i szybko wyeliminuje tego rodzaju działalność" - twierdzi Wojciech Wrzaskała, z firmy QXL Poland.


Zobacz również