Mydoom: spektakularny sukces

Robak Mydoom zebrał już pierwsze żniwo - w niedzielny poranek 1 lutego, spowodował, iż serwery internetowe SCO Group nie były w stanie wytrzymać naporu setek tysięcy zgłoszeń komputerów - 'maszyn zombie' z całego świata. Eksperci ds. bezpieczeństwa określają przeprowadzony przez Mydooma atak mianem 'spektakularnego sukcesu'.

Przedstawiciele SCO podkreślają, iż pierwsze oznaki ataku pojawiły się już w sobotni wieczór. Natężenie ruchu sięgnęło zenitu w nocy z soboty na niedzielę i sprawiło w rezultacie, iż serwery internetowe firmy ostatecznie poległy pod naporem żądań tysięcy zainfekowanych Mydoomem komputerów. Przy okazji pojawiły się zapowiedzi planów awaryjnych, jakie SCO Group zamierza wdrożyć w związku z zaistniałą sytuacją. Zapowiedzi niedługo później przeszły w czyny, czego dowodem jest wycofanie adresu www.sco.com z serwerów DNS. Strona firmowa pojawiła się tymczasem pod nowym adresem: http://www.thescogroup.com . Przy tej okazji warto też wspomnieć, iż Mydoom podczas ataku kieruje się wyłącznie nazwą domeny, natomiast kompletnie nie bierze pod uwagę kryjącego się pod nią adresu IP, co w efekcie daje możliwość skierowania ataku na kogoś innego w przypadku zmodyfikowania wpisu na serwerze DNS.

Szybkość oraz skuteczność przeprowadzonego ataku zaskoczyła nawet specjalistów ds. bezpieczeństwa: "Sobotnio-niedzielny ataka Mydooma na witrynę SCO Group to spektakularny sukces!" - podkreśla Mikko Hypponen z fińskiej firmy antywirusowej F-Secure.

W oczekiwaniu na wtorkowy atak wymierzony tym razem w stronę internetową koncernu Microsoft, eksperci zastanawiają się, czy niedzielny scenariusz się powtórzy. Koncernowi z Redmond może pomóc specjalna sieć serwerów o nazwie CDN (content distribution network) zaprojektowana przez firmę Akamai. Sieć CDN składa się z rozmieszczonych po całym świecie serwerów, z których każdy obsługuje inny region - w przypadku żądania o wyświetlenie witryny internetowej, odpowiada zawsze serwer znajdujący się najbliżej komputera danego użytkownika). W tym wypadku jednak liczba zainfekowanych komputerów jest wyjątkowo duża, co może wystawić CDN na ostateczną i niepewną próbę (armia robaka MSBlaster składała się z 200 tysięcy komputerów, zaś w przypadku Mydooma może ona liczyć nawet 600 tysięcy. Niektórzy eksperci szacują, że ta liczba sięga obecnie nawet 1 miliona zarażonych maszyn).

'Wykonuję tylko swoją robotę' - Aktualizacja, godzina 15:30

W wyniku badań kodu drugiej wersji Mydooma - Mydoom.B, której zadaniem jest atak na stronę Microsoftu, odnaleziono zaszytą w nim informację o treści: "andy; I'm just doing my job, nothing personal, sorry" (Wykonuję tylko swoją robotę. To nic osobistego, wybaczcie), co spowodowało natychmiastową lawinę spekulacji o autorze robaka - domniemanym Andym. Przedstawiciele Kaspersky Labs mają 80 % pewności, iż Mydoom przybył z Rosji.

Jeszcze długo - Aktualizacja 16:00

Procedury umieszczone w robaku Mydoom.A zakładały zakończenie rozprzestrzeniania się insekta na 12 lutego, zaś jego drugiej odmiany - Mydooma.B na 1 marca. Wygląda jednak na to, że przyjdzie nam się zmagać z obydwoma szkodnikami o wiele dłużej. W kodzie obu robaków odkryto bowiem błędy, które uniemożliwiają ostateczne zatrzymanie procesu rozsyłania.


Zobacz również