Novemberi vírusstatisztika -- új típusú férgek és támadások
A Trend Mikro közzétette 2004. október 25. és november 25. közötti időtartam alatt szerzett tapasztalatainak összefoglaló jelentését, mely szerint az elmúlt hónap során három komolyabb vírustámadás történt. Mindhárom támadást tömeges levélküldő férgek okozták; a két új BAGLE-változat háromórás eltéréssel járta körbe a világot október 29-én, a SOBER féreg pedig november 19-én tért vissza. A lista első három helyét a NETSKY-variánsok foglalják el.
Jó időzítés
A két BAGLE féreg megjelenése a támadások szempontjából ideális időben történt, egy hosszú hétvége előtti pénteki napon. A legtöbb országban az irodák zárni készültek, a rendszergazdák pedig éppen hazaindultak vagy már el is hagyták munkahelyüket, és szinte senki sem gondolt már a védekezésre.
A különböző NETSKY-variánsok a lista hat helyét foglalják el, beleértve az első három helyet is. A sort a NETSKY.P vezeti, ez az eddigi leggyakoribb NETSKY-variáns. A féreg összesen 885 159 fertőzést mondhat magáénak. A júliusban, augusztusban és szeptemberben listavezető SASSER féreg teljesen kiszorult a tízes listából.
Eltérően társától és fő riválisától, a BAGLE-től, a NETSKY féreg nem jeleskedett a támadásokban és a WORM_NETSKY.AB óta (melyet április 28-án fedeztek fel) nem hozott létre új variánsokat. Az utóbbi hét hónapban a vírustámadások megszűnése állítólagos alkotójának 2004. május 8-án történő elfogásához köthető.
Új módszerekkel támad a BAGLE
A BAGLE féregből 2004. januárja óta legalább 13 variáns született, amelyek közepes kockázati szintű vírustámadást okoztak, ebből hét az utóbbi öt hónapban történt. A harmadik negyedévben közzétett variánsok már más terjedési sémát használtak. A szokásos tömeges levélküldés helyett egy .ZIP fájlba csomagolt trójai letöltő alkalmazást és egy HTML parancsfájlt használtak a postaládák megcélzására.
Említésre méltó, hogy a BAGLE legújabb variánsai (a BAGLE.AT és a BAGLE.AU) kikerülték az indirekt terjedési módszert, és a régi módszer szerint közvetlenül továbbították magukat a postaládákba. A BAGLE tehát több variáns segítségével többszintű támadást próbál véghezvinni, és tömeges fertőzést elérni.
Erőtlen próbálkozás a SOBER-től
A tömeges levelező SOBER féreg öthavi hallgatás után 2004. november 19-én jelent meg egy újabb, kilencedik variánsban, ez szintén egy pénteki nap volt. Ez az új variáns ugyanazt a funkcionalitást és azokat az alapvető eljárásokat tartalmazza, mint a korábbi SOBER-változatok, gyakorlatilag semmi újdonságot nem jelentett, így a visszatérés erőtlen volt, és kudarcba fulladt.
Hátsó kapuk, trójaik
A trójai programok felelősek a novemberi észlelések nagy részéért, azok 42 százalékát adják. Az ilyen kódok a hátsó ajtókkal együtt a novemberi észlelések 50 százalékát teszik ki.
A TrendLabs az 1 564 novemberi észlelés során 913 új rosszindulatú kódot talált. Az újonnan felfedezett rosszindulatú kódok között az első helyen a férgek végeztek jelentős, 47 százalékos részaránnyal, vagyis a rosszindulatú kódok körülbelül felét adják. A trójai alkalmazások és a hátsó ajtók együtt kicsivel több mint egyharmadát teszik ki az összesítésnek.
A kezdetben egy újabb MYDOOM-változatnak hitt BOFRA féreg első variánsa 2004. november 8-án jelent meg. E kód esetében fennállt a veszélye egy aznapi támadásnak, mivel terjedésében az Internet Explorer egy még javítatlan IFRAME biztonsági rését használta ki.
A levélmellékletként közvetlenül történő továbbküldés -- a szokásos gyakorlat -- helyett azonban ez a féreg egy beágyazott HTML parancsfájlt küld, ami URL hivatkozásokat tartalmaz bizonyos weboldalakra. Ezek az oldalak az Internet Explorer nem frissített változataira veszélyes IFRAME biztonsági réseket használják ki.
Kéretlen SMS üzenetek
2004 novemberében egy, a vezeték nélküli világot fenyegető újabb rosszindulatú kód is megjelent. A 2004. november 11-én felfedezett TROJ_DELF.HA a fertőzött gépeket használja arra, hogy mobiltelefonokra SMS formájában kéretlen üzeneteket küldjön.