Mydoom: terror trwa

Szacuje się, że obie wersje Mydooma przesyłane są w co 3 wiadomości w Europie i w co 12 na świecie. Straty firm wywołane działaniem Mydooma, już dziś wycenia się na 250 milionów USD. CERT Polska w ciągu ostatnich 24 godzin odebrał blisko 34 tys. zawirusowanych przesyłek. Tymczasem armia cyber-wojowników skanuje Sieć w poszukiwaniu zainfekowanych komputerów, nad którymi (w wyniku działań Mydooma) mogą przejąć kontrolę. W pierwszych dniach lutego spodziewany jest zmasowany atak DDoS na serwery SCO oraz Microsoftu. Z uwagi na charakter i szybkość rozprzestrzeniania się robaka TP S.A. zapowiada blokowanie bez ostrzeżenia adresów IP lub portów klienckich, na których zauważy największą aktywność robaka.

Mydoom, który pojawił się na początku tygodnia wydaje się urastać do rangi wirusa wszechczasów: z robaka powodującego gwałtowny wzrost ruchu w światowej Sieci, przeobraził się w groźne narzędzie cyber-terroru, które umożliwi przeprowadzenie ataku na serwery internetowe przy pomocy setek tysięcy zarażonych systemów. Wśród wielu przeciętnych użytkowników Internetu pojawiają się zatem coraz liczniejsze obawy o wykorzystanie ich komputerów do stworzenia armii cybernetycznych maszyn-zombie które doprowadzą do zagłady serwerów SCO Group, Microsoftu oraz niekontrolowanego rozlewu spamu i kolejnych wirusów. Obecne dane wskazują na blisko 9 % komputerów zarażonych Mydoomem na Węgrzech, 8 % w Austrii oraz 7 % w Rosji. Według różnych źródeł, w Polsce procent zainfekowanych maszyn waha się w granicach od 4 do 9.

Tysiące komputerów ZOMBIE

Eksperci ds. bezpieczeństwa sieci, informują o tysiącach zarejestrowanych przypadków skanowania Internetu w poszukiwaniu zainfekowanych komputerów, które charakteryzują się otwartymi w wyniku działań Mydooma portami TCP (Transmission Control Protocol). Zakres portów TCP, jakie otwiera robak to 3127 do 3198. Potencjalny hacker uzyskujący dostęp do takiego komputera, może go zamienić w tzw. 'maszynę zombie', która będzie pełniła rolę dystrybutora spamu oraz wirusów. W związku z powyższym pojawiają się coraz powszechniejsze obawy, iż na początku lutego, kiedy to przewidywane są zmasowane ataki DDoS (Distributed Denial of Service) na serwery SCO Group oraz Microsoftu, sytuacja może się całkowicie wymknąć spod kontroli.

Skala problemu poruszyła amerykańskie władze -departament Bezpieczeństwa Wewnętrznego dołączy do antywirusowej krucjaty, wprowadzając nowy system wczesnego ostrzegania o nazwie National Cyber Alert System. To jednak, zdaniem przedstawicieli firmy Symantec, nie wydaje się być dostatecznym rozwiązaniem . Podkreślają oni, iż może to utrudnić i tak już nadwyrężoną dystrybucję informacji o potencjalnych zagrożeniach wirusami oraz dziurami w systemach operacyjnych.

Bardziej wymierne efekty w walce z armią hackerów skanujących Sieć w poszukiwaniu ofiar Mydooma (przynajmniej w Polsce) być może osiągnie Telekomunikacja Polska: "Z uwagi na charakter i szybkość rozprzestrzeniania sie robaka Worm.Mydoom.A, TP S.A. - POLPAK w celu ochrony sieci i swoich klientów będzie zmuszona do blokowania bez ostrzeżenia adresow IP lub portów klienckich, na których zauważy najwiekszą aktywność robaka" - czytamy w oficjalnym oświadczeniu w tej sprawie.

Specjaliści już dziś liczą straty firm z tytułu działalności Mydooma. Koszty z tytułu wsparcia, utraty produktywności, kompleksowego czyszczenia systemów oraz ich zabezpieczenia, jakie pociągnął za sobą wirus Sobig w lecie ubiegłego roku, opiewały na 50 milionów USD. W tym wypadku skala strat może być 4- lub nawet 5-krotnie wyższa i osiągnąć poziom 250 milionów USD.

Mydoom: odsłona polska

Polski oddział Panda Software przygotował już odpowiednią szczepionkę na zmutowaną wersję Mydooma. Jak podkreśla Paweł Ratyński: "Stopień rozprzestrzeniania się Mydooma.B jest już o wiele mniejszy niż jego poprzednika, co głównie jest spowodowane większą ostrożnością użytkowników, których działanie jest niezbędne, aby robak został uruchomiony. Tym niemniej z naszych danych wynika, iż blisko 8 % komputerów w Polsce zostało zainfekowanych Mydoomem.A. Co trzecia wiadomość pocztowa w Europie i co 12 na świecie zawiera tego insekta, co dobitnie może obrazować skalę problemu. Telefon naszego PogotoVia AntyVirusowego dzwoni bez przerwy...".

Czytelnikom, którzy zainteresowani są stopniem rozprzestrzeniania się Mydooma polecamy odwiedzenie stale aktualizowanego obserwatorium antywirusowego Pandy Software: http://www.pandasoftware.com/virus_info/flash/mapa_popup.asp?idioma=2&color=FFFFFF .

Aby zorientować się, jak wygląda sytuacja z rozprzestrzenianiem się Mydooma w Polsce, poprosiliśmy o komentarz Piotra Kijewskiego z CERT Polska:

PCWK: Czy dysponujecie już jakimikolwiek raportami na temat zwiększenia ruchu w sieci, którego przyczyną mógłby być Mydoom?

CERT: "Nie dysponujemy jeszcze raportami mogącymi wskazywać na wzrost ruchu w sieci bezpośrednio spowodowanego przez Mydoom".

PCWK: Czy jesteście w stanie zlokalizować epicentrum "zakażenia" na terenie Polski?

CERT: "Na podstawie danych, które mamy zebrane z obserwowanych przez nas serwerów pocztowych: W ciągu ostatnich 24 godzin otrzymaliśmy 33 494 zawirusowanych przesyłek, z czego 32970 dotyczyło wirusa Mydoom. Źródłem przesyłek są sieci największych operatorów, rozkład jest podobny do rozkładu rynku usług Internetowych w Polsce. Wirus propaguje się przez adresy pocztowe znajdowane na zainfekowanych komputerach. W Polsce znajduje głównie adresy Polskie. W związku z tym, ponieważ serwery pocztowe obserwowane przez nasz zespół znajdują się w Polsce, jesteśmy przede wszystkim (jak prawie wszyscy w Polsce) atakowani z Polski (około 80% przesyłek)".

PCWK: Jak oceniacie obecną i przewidywaną aktywność Mydooma w Polsce?

CERT: "Wirus w dalszym ciągu intensywnie propaguje się w Polsce. Analiza firm antywirusowych wykazała, że robak ma przeprowadzić atak DDoS na SCO od 1 lutego (nowy wariant zakłada również atak na Microsoft) - skutki w tym momencie jednak trudno przewidzieć. Wirus zostawia otwarte porty do zdalnego zarządzania - w chwili obecnej rozpoczęły się już skany w Internecie w poszukiwaniu tych portów. Skany te dotyczą również polskiego kawałka sieci (prawie 50% monitorowanych przez nas komputerów zostało przeskanowanych w ciągu ostatnich 24 godzin). Skany te mogą się nasilić. Warto przy okazji zwrócić uwagę na dwie kwestie:

- dużo zamieszania generują systemy antywirusowe które informują na podstawie nagłówka "From" o wykryciu wirusa - ponieważ jest sfałszowany, komunikat trafia do niewinnej osoby, powodując dodatkowy, duży, niepotrzebny ruch w sieci;

- według analiz firm antywirusowych, wirus stara się unikać infekcji niektórych site'ow - na przykład .gov czy .mil. Jest to kolejny przykład, że w przyszłości prawdopodobnie będziemy mieli do czynienia z zautomatyzowanymi atakami ukierunkowanym na konkretne organizacje bądź użytkowników".

Na łamach naszego serwisu przygotowaliśmy specjalny, kompleksowy pakiet narzędzi do walki z Mydoomem, przygotowany przez wiodące firmy produkujące oprogramowanie antywirusowe: http://www.idg.pl/ftp/pobierz_mydoom.asp

Aktualizacja: 29 stycznia, godzina 20:20

Eksperci z firmy Sophos sugerują, iż aktualnie rozprzestrzeniający się w Internecie robak Mydoom.A, mógł zostać skonstruowany z myślą o tzw. 'Wojnie Linuksowej'. W oficjalnym oświadczeniu Sophos zwraca uwagę na fakt, iż głównym zadaniem insekta jest przeprowadzenie na początku lutego ataku typu DDoS (Distributed Denial of Service) na serwery SCO Group - organizacji, która jakiś czas temu wywołała wiele kontrowersji wśród społeczności użytkowników Linuksa. Przedstawiciele SCO Group, w Maju zeszłego roku zapowiedzieli, iż część kodu źródłowego wykorzystywanego przez Linuksa jest ich własnością, po czym złożyli w tej sprawie do sądu pozew przeciwko firmom IBM, Red Hat oraz Novell.

Aktualizacja: 29 stycznia, godzina 21:10

Firma McAfee zaleca administratorom sieci wyłączenie specyficznej właściwości oprogramowania antywirusowego o nazwie Auto-Notification, która automatycznie odpowiada adresatowi zainfekowanej wiadomości, informując go o fakcie znalezienia u niego wirusa. Niestety, w sytuacji, gdy dzisiejsze wirusy oraz robaki internetowe wykorzystują technikę spoofingu (podmiany adresu zwrotnego w przypadku odpowiedzi), informacje zwrotne trafiają w miejsca, z których nigdy nie zostały wysłane wiadomości pierwotne, powodując tym samym dezorientację użytkowników, przeświadczonych o obecności w ich komputerach wirusa oraz zbędny ruch w sieci. Jak oceniają specjaliści, w tym wypadku może on stanowić nawet 25 % całego przyrostu ruchu w Internecie, wywołanego przez robaka Mydoom.

Aktualizacja: 29 stycznia, godzina 22:50

Microsoft rozważa wyznaczenie nagrody za informacje mogące doprowadzić do schwytwania autorów Mydooma. Według przedstawicieli koncernu, prowadzone są w tej sprawie konsultacje z producentami oprogramowania antywirusowego oraz FBI (Federalnym Biurem Śledczym), lecz ostateczna decyzja jak dotąd nie zapadła. Microsoft po raz pierwszy zdecydował się na taki krok w listopadzie zeszłego roku, przeznaczając 5 milionów USD na 'cenne informacje'. Zaoferowano wtedy po 250 tysięcy USD nagrody za pomoc w ujęciu twórców Blastera oraz Sobiga. Dla przypomnienia, również CSO Group wyznaczyło wcześniej 250 tysięcy USD za 'głowę autora' Mydooma. Z ostatnich danych przedstawionych przez Network Associates wynika, iż Mydoom zainfekował już do tej pory blisko 0,5 miliona komputerów na całym świecie.


Zobacz również