Rok po MyDoomie: robak, który zmienił oblicze Internetu

Pierwsza wersja robaka internetowego MyDoom (MyDoom.A), została zauważona 26 stycznia 2004 roku i bardzo szybko zaczęła się rozprzestrzeniać w globalnej Sieci. Z danych MessageLabs wynika, iż w dniach 26 i 27 stycznia, robak obecny był w co 12 wiadomości przechwyconej przez tę firmę. Co warte podkreślenia, specjaliści z MessageLabs zanotowali 1,2 miliona wiadomości zainfekowanych MyDoomem, w ciągu pierwszych 24 godzin po identyfikacji.

Pierwsze kopie 'insekta' zostały wykryte 27 stycznia również w Polsce: "Pierwsze kopie MyDooma zauważyliśmy dziś rano. Od tego momentu nasz system zarejestrował już kilkaset zainfekowanych e-maili, dostaliśmy również kilkanaście zgłoszeń od użytkowników" - informował wtedy jeden z pracowników Działu Wsparcia Technicznego firmy MKS. Jak twierdzi Graham Cluley, senior technology consultant w firmie antywirusowej Sophos: "Był to jeden z najgorszych wirusów w historii - w mojej opinii przebił w tym względzie nawet Blastera i Sobiga, które panoszyły się po Internecie kilka miesięcy wcześniej".

Zobacz również:

• Microsoft i Adobe ujawniają swoje generatory grafik SI

Początek ery zombie

MyDoom został zapamiętany nie tylko ze względu na rozmiar epidemii, którą wywołał. Zapoczątkował on bowiem nowy etap w historii infekcji wirusowych na dużą skalę. Po uruchomieniu załącznika do wiadomości pocztowej, instalował w systemie konia trojańskiego, który pozwalał na przejęcie zdalnej kontroli nad komputerem i wykorzystanie go w charakterze tzw. maszyny 'zombie' do przeprowadzenia ataku typu DoS (denial of service).

Pierwszą ofiarą takiego ataku stał się wkrótce (na początku lutego 2004) serwer internetowy SCO Group (firma wzbudziła swego czasu kontrowersje w środowisku Open Source, żądając opłat licencyjnych za korzystanie z systemu Linux). Według specjalistów z firmy McAfee, w ataku na stronę internetową www.sco.com, który rozpoczął się 1 lutego uczestniczyło od 25 do nawet 50 tysięcy komputerów. Przedstawiciele SCO nie pozostali wtedy dłużni, oferując nagrodę w wysokości 250 tysięcy USD za pomoc w ujęciu sprawców MyDooma. W niedługim czasie, również koncern Microsoft zapowiedział następne 250 tysięcy USD nagrody za 'głowę' autora kolejnej wersji robaka. MyDoom.B został zaprogramowany do przeprowadzenia ataku typu DoS na serwery internetowe giganta z Redmond.

Sieć tysięcy zainfekowanych MyDoomem komputerów stała się niebezpiecznych narzędziem w rękach cybernetycznych przestępców. Mogli oni ją wykorzystać do przeprowadzania kolejnych ataków, rozsyłania nowych wersji wirusów, a także dystrybucji spamu. "MyDoom, zapoczątkował komercyjne podejście do tematyki pisania wirusów" - twierdzi Alex Shipp, senior antivirus technologist w firmie MessageLabs. Sukces tego posunięcia zwrócił uwagę sieciowych kryminalistów na możliwość zarobkowania poprzez udostępnianie sieci ubezwłasnowolnionych komputerów do różnych nie do końca zgodnych z prawem celów.

MyDoom: autor nieznany

Pomimo wysokich nagród wyznaczonych przez SCO Group oraz Microsoft (po 250 tysięcy USD) za pomoc w schwytaniu autora lub autorów robaka MyDoom, do tej pory nie udało się nikogo zidentyfikować ani zatrzymać w tej sprawie. Wszyscy pamiętają zapewne ubiegłoroczne schwytanie Svena Jaschena, autora rodziny groźnych wirusów Netsky oraz Sasser. Tymczasem w sprawie MyDooma zapadła cisza i nie zapowiada się na jakiekolwiek zmiany.

"Osoba, która napisała MyDooma nie jest amatorem" - uważa Graham Cluley. "Nie należy liczyć na to, że umieści ona istotne informacje o sobie w kodzie robaka lub pozwoli na łatwe i szybkie ujawnienie swojej tożsamości, jak czynili to niektórzy wcześniej".

Dużo ognia, mało dymu

Pomimo dość spektakularnej i szybkiej kariery, MyDoom nie zagościł na wysokich pozycjach ubiegłorocznych zestawień przygotowywanych przez firmy antywirusowe. Co ciekawe, w wirusowym podsumowaniu 2004 roku opublikowanym przez firmę Sophos, pierwsza odmiana MyDooma (MyDoom.A) znalazła się dopiero na 7 miejscu pod względem liczby zanotowanych infekcji (2,4% ogólnej liczby przypadków). Na prowadzeniu znalazł się Netsky-P (jedna z blisko 30 odmian robaka, która pojawiła się w Sieci w marcu) reprezentując 22,6% wszystkich infekcji wirusowych zgłoszonych do Sophosa w 2004 roku. Według ostatnich danych firmy Panda Software, MyDoom zajął dopiero 15 miejsce, pod względem ilości infekcji na świecie (2,53%), w Polsce zaś znalazł się poza pierwszą dwudziestką.

Czas najwyższej aktywności MyDooma minął już dawno. Pozostał on jednak na stałe w pamięci i świadomości wielu internautów, jako swoisty znak nowej ery. Do tej pory zarejestrowano ponad 30 odmian tego 'insekta'. W ostatnim czasie zanotowano kolejne wersje. Nie zdążył się on za bardzo zadomowić w Sieci, jednak, zdaniem specjalistów, pojawienie się nowej mutacji MyDooma nie wróży nic dobrego. Czy zatem będziemy świadkami powrotu króla robaków?