MyDoom.O - atakuje internautów i... wyszukiwarki

Robaka wykryto w poniedziałek wieczorem - MyDoom.O, podobnie jak inne robaki z tej rodziny, rozprzestrzenia się za pośrednictwem poczty elektronicznej. Jest jednak coś, co go zdecydowanie wyróżnia - sposób, w jaki nowy MyDoom zdobywa adresy e-mail, pod które wysyła swoje kopie. Do tej pory robaki zwykle szukały ich na twardym dysku - w książkach adresowych programów pocztowych lub plikach tymczasowych przeglądarek internetowych. MyDoom.O dodatkowo szuka adresów w Internecie - za pośrednictwem wyszukiwarek internetowych. A że komputerów zainfekowanych przez tego robaka jest coraz więcej, to cały czas rośnie liczba 'zapytań', które muszą obsłużyć wyszukiwarki. Dlatego też obserwować możemy zakłócenia pracy największych serwisów wyszukiwawczych.

Wyszukiwarki na celowniku

Z pierwszych analiz kodu "insekta" wynika, że korzysta on z wyszukiwarek Google, Yahoo, Lycos oraz AltaVista (w momencie publikacji tego tekstu łączenie z dwiema ostatnimi witrynami trwało znacznie dłużej niż zwykle - Google i Yahoo otwierały się jednak bez większych problemów).

Rzecznik Google potwierdził, że MyDoom.O spowodował spowolnienie pracy wyszukiwarki - zapewnił jednak, że trwało to krótko i firma już poradziła sobie z problemem. W podobnym tonie utrzymana była wypowiedź przedstawiciela Yahoo - rzecznik portalu powiedział, że przez pewien czas użytkownicy mogli zauważyć pewne spowolnienie, ale firmie udało się szybko ograniczyć skutki 'ataku' MyDoom.O.

MyDoom.O jest jednak niebezpieczny nie tylko dla serwisów wyszukiwawczych - po zainfekowaniu komputera robak umożliwia nieautoryzowanym użytkownikom przejęcie kontroli nad maszyną. Komputer taki może zostać wykorzystany np. do przeprowadzania ataków DoS lub rozsyłania spamu (jako tzw. 'zombie PC' - szerzej o tym zjawisku pisaliśmy w tekście "Zombie PC: zmora naszych czasów").

Jest groźny, może być groźniejszy

Eksperci uważają robaka za stosunkowo groźnego - firma McAfee ocenia powodowane przez niego obecnie zagrożenie jako "średnio wysokie", zaś Symantec przyznał MyDoomwi ocenę 4 (w pięciostopniowej skali). Przedstawiciele obu koncernów nie wykluczają, że wraz ze wzrostem aktywności robaka oceny mogą ulec zmianie.

MyDoom.O pojawia się w komputerze w postaci załącznika do e-maila - robak na kilka sposobó stara się zwieść użytkownika, tak, by ten uruchomił załączony do wiadomości plik. Wiadomość taka zwykle wygląda jak komunikat administratora - może ona zawierać informację o problemach z doręczeniem poczty lub wskazówki, jak... usunąć wirusa. Nowy MyDoom jest też całkiem sprytny - by uniknąć przedwczesnego wykrycia, nie wysyła swoich kopii na adresy e-mail pracowników firm produkujących oprogramowanie antywirusowe oraz firm oferujących konta pocztowe.

"Pomysł wykorzystania wyszukiwarek do znalezienia ofiar nie jest pomysłem nowym - po raz pierwszy jednak został wykorzystany w wirusie na taka skalę. W Polsce na razie obserwujemy niewielka aktywnosć MyDoom.O. Wirus oczywiście może jeszcze zdestabilizowac prace niektorych serwerów, jednak nie powinnien wpłynąć znacząco na ogólny stan bezpieczeństwa sieci i na działanie wyszukiwarek. Niepokojacy jest jednak fakt, że pomimo wielu apeli użytkownicy w dalszym ciągu klikają bez zastanowienia w załączniki." - powiedział nam Piotr Kijewski z CERT Polska.

15 x MyDoom

'O' jest już piętnastą wersją MyDooma, jaka pojawiła się w Sieci od stycznia - eksperci przyznają jednak, że jest też jedną z najbardziej innowacyjnych (głównie za sprawą nietypowego sposobu gromadzenia adresów e-mail). W MyDoom.O poprawiono jednak nie tylko wyszukiwanie adresów e-mailowych - nowy robak sprawniej od swoich poprzedników rozprzestrzenia się w sieciach P2P.

Aby usunąć robaka, należy sprawdzić system przy pomocy uaktualnionego programu antywirusowego i skasować wszystkie wykryte przez aplikację kopie MyDoom.O. Alternatywną metodą jest skorzystanie ze specjalnej 'szczepionki', służącej do usuwania tego konkretnego "insekta" - ich zbiór można znaleźć w naszym serwisie FTP.