Októberben 22 százalékkal nőtt a vírusok száma
A szeptember 25. és október 25. közötti időszak viszonylag csendesnek bizonyult a Trend Micro megfigyelése szerint, a World Virus Tracking Center tíz legelterjedtebb rosszindulatú kódot tartalmazó listáját a szokásos szereplők töltik meg. A TrendLabs összesen 1817 rosszindulatú kódot észlelt 2004. októberében, ez az előző hónaphoz képest 22 százalékos növekedést jelent, azonban a tíz legelterjedtebb kártevő által okozott összes fertőzés több mint 20 százalékkal kevesebb az előző havinál.
A leghírhedtebb fenyegetések listájának élén eltöltött három hónap után a SASSER féreg támadásai ritkulni látszanak. Számottevően csökkent a WORM_SASSER.B fertőzések száma, ami akár annak a jele is lehet, hogy egyre kevesebb a frissítetlen, az LSSAS biztonsági rést nyitva hagyó rendszer. Ez a legutolsó SASSER változat, amely az elmúlt hónapokban a lista első helyén állt, az októberi listán nem szerepel.
A Netsky okozta a legtöbb bonyodalmat
Ezzel párhuzamosan a NETSKY átvette a vezetést. A SASSER.B helyének elfoglalása mellett a WORM_NETSKY.P -- az elmúlt hónapok legszélesebb körű fertőzését magáénak tudó NETSKY változat -- jelentős mértékű, 30 százalékos növekedést mutatott az előző hónaphoz képest. Ezzel a WORM_NETSKY.P összes fertőzésének száma március óta világviszonylatban meghaladja a kétmilliót, ami a WORM_SASSER.B fertőzéseinek közel háromszorosa. A WORM_NETSKY.P mellett négy másik NETSKY változat is található a tíz legelterjedtebb rosszindulatú kód között. Ezek a lista tíz szereplőjénél regisztrált összes fertőzés mintegy felét (45%) teszik ki.
| Kitörés |
| Az F-Secure antivírus cég 2004. október 29-én reggel észlelte a Beagle.AT nevű új féreg megjelenését, amely e-mailben és fájlmegosztó hálózatokon át terjed, és hátsó ajtó programot próbál telepíteni a fertőzött rendszerekre. A fertőzött levél törzse csak a "Hello" vagy "Thank you" szöveget és néhány mosolyjelet (smiley) tartalmaz, a melléklet neve "price" vagy "joke" lehet, változatos kiterjesztéssel.
Aki a mellékletre kattint, megfertőzi a gépét. A féreg azonnal megkezdi saját kódjának továbbterjesztését a fertőzött gépen található e-mail címekre küldött levéllel. A fájlcserélő hálózatokon történő terjedéshez lopott szoftvert és pornó-tartalmat ígérő attraktív fájlneveket használ a féreg. A Beagle.AT kártevő a fertőzött gépen megkísérli leállítani számos biztonsági szoftver futását, de egyben a Netsky féreg irtásával is megpróbálkozik. |
Múlt hónapban a tetőpontot jelentő ez év áprilisi támadások óta a NETSKY fertőzésszáma először csökkent 400 ezer alá, ami az áprilisi adatnak körülbelül ötöde. Ez még mindig magasnak tekinthető, legfőképp azért, mert a NETSKY férgek alapvetően az emberi hiszékenységet használják ki terjedésükhöz. Ebben a hónapban azonban a fertőzések száma április óta először ismét emelkedni kezdett és elérte a 400 000-es értéket.
A NETSKY folyamatos jelenlétének legfontosabb tényezője annak a láthatóan kiirthatatlan szokásnak a kihasználása, amely szerint a felhasználók előszeretettel nyitják meg az ‑ akár ismeretlen forrásból érkező ‑ e-mailek mellékleteit. A SASSER féreggel ellentétben, amelynek nincs szüksége felhasználói közreműködésre a terjedéshez, a NETSKY ezen emberi biztonsági rés segítségével terjed.
Támadnak a trójai programok
A trójai programok száma tovább növekszik, és a Trend Micro által az elmúlt hónapban észlelt rosszindulatú kódok döntő részét teszik ki. Az október folyamán felfedezett trójai programok teljes száma közel 30 százalékkal több az előző havi értéknél, ezek adják a hónap során felfedezett összes rosszindulatú kód több mint 47 százalékát. Ez a szám 45 százalékos növekedést jelent az előző hónaphoz képest. A hátsó ajtót nyitó programokkal együtt az észlelt rosszindulatú kódok közel 65 százaléka trójai.
A kártékony kódok második leggyakoribb típusa a féreg. Ezek alkotják az októberben felfedezett kódok mintegy 30 százalékát. Ez a szám nagyjából megegyezik az előző havi értékkel. Amint az az előző hónapok adataiból kitűnt, a bot programok továbbra is az észlelt férgek 75 százalékát teszik ki. A bot programok nem csökkenő jelenléte is jól mutatja a bot "zombi" hálózatok terjedését. Mivel a bot programok általában hátsó ajtót nyitó komponenst is tartalmaznak, elosztott túlterheléses (DDoS) jellegű támadások alapját képezhetik. Napjainkban már a leggyakoribb biztonsági réseket is kihasználják terjedési és fertőzési képességeik növelése érdekében.
A legújabb trendek szerint a botok támadásai gyakran üzleti alapúak. A bot programok hátsó ajtó funkciói segítségével a rosszindulatú felhasználók információt lophatnak a fertőzött rendszerekből, amelyeket később értékesíthetnek. Egyes szerzők hacker fórumokon vagy egyéb hasonló on-line találkozóhelyeken teszik pénzzé műveiket. Megint mások botokkal fertőzött rendszerek hozzáféréseit árulják.
A JPEG-hibát kihasználó vírusok
A Microsoft október 12-én tíz biztonsági frissítést jelentetett meg. E tíz biztonsági rés közül nyolc kihasználása távoli kódvégrehajtást eredményezhet. Alig két héttel a biztonsági frissítések megjelenése után felfedezték az egyik ilyen, MS04-032 jelű hibát kihasználó HKTL_MS04-032 programot. Az MS04-032 egyebek mellett a Windows EMF képfájlok megjelenítésekor lép életbe, és lehetővé teszi, hogy a támadó távolról futtasson shell kódot a sebezhető rendszeren. A biztonsági rést kihasználó módosított EMF fájlok egy megadott TCP portot nyitnak a rendszerben, és azon várják a távoli felhasználó parancsait.
A HKTL_MS04-032 egy e biztonsági rést kihasználó EMF fájlokat létrehozó parancssori támadó eszköz. Október 22-én fedezték fel, mindössze tíz nappal az után, hogy a Microsoft kiadta biztonsági jelentését. A támadó eszköz által generált fájlok előnézetük megtekintése vagy kézi megnyitásuk esetén futtatják le a kódot.