Sober - unikatowy robak

Rok 2005 obfitował w incydenty związane z bezpieczeństwem IT. Wiele z nich zostało omówionych w poprzednich raportach kwartalnych. Najnowszy raport opisuje trendy występujące w czwartym kwartale 2005 roku, miedzy innymi pojawienie się wirusów dla nowych platform oraz luki "zero day".

15 listopada 2005 r. bawarska policja opublikowała notkę prasową ostrzegającą przed pojawieniem się nowej wersji robaka pocztowego Sober, nie podając jednak, na czym opiera swe doniesienia. Ponieważ Sober został stworzony w Niemczech, firmy antywirusowe na całym świecie potraktowały to ostrzeżenie niezwykle poważnie. Zaledwie dzień później, 16 listopada, firma Kaspersky Lab otrzymała próbkę najnowszej wersji tego robaka. Próbka ta, Sober.y wywołała wkrótce epidemię wirusową.

18 listopada miliony użytkowników z Europy Zachodniej otrzymały dziwne wiadomości e-mail. Wiadomości różniły się między sobą, wszystkie jednak informowały adresatów, że ściągając z Internetu muzykę lub pliki wideo, naruszyli prawa autorskie. Wiadomości pochodziły rzekomo od FBI. Użytkownicy zostali poproszeni o otwarcie załączonego pliku, który miał zawierać dowody wykroczenia.

Był to kolejny przykład doskonale przemyślanej socjotechniki, którą Sober już raz się posłużył wiosną 2005 roku. Tym razem metoda również okazała sie skuteczna i dziesiątki (a nawet setki) użytkowników, nie podejrzewając żadnego podstępu, otworzyło załącznik wiadomości wypuszczając na wolność robaka Sober.y. W ten sposób wywołali kolejną epidemię. Sober wykorzystywał wszystkie zainfekowane maszyny do masowego rozsyłania wiadomości e-mail, w ruchu pocztowym zaczęły więc krążyć dziesiątki milionów jego kopii.

Wiadomości pochodzące rzekomo od FBI spowodowały jeszcze inną szkodę. W ich treści podano numer centrali telefonicznej FBI. Skutek był taki, że użytkownicy nie tylko otworzyli załącznik, ale niektórzy z nich zadzwonili bezpośrednio do FBI, przeprowadzając swoisty atak DDoS na centralę telefoniczną.

Epidemia osiągnęła swój szczyt na początku grudnia. Sober.y był jednym z najskuteczniejszych wirusów w roku 2005 pod względem zainfekowanych maszyn i wiadomości w ruchu pocztowym.

Sukces rodziny Sober jest w pewnym sensie zagadką. Trudno powiedzieć, dlaczego robaki Sober zdołały spowodować epidemię takich rozmiarów. Z technicznego punktu widzenia robak ten jest bardzo prymitywny - został napisany w Visual Basicu i jest dość duży. Visual Basic jest niezwykle prostym językiem programowania, którego praktycznie każdy jest w stanie się nauczyć. Większość wirusów pisanych jest dzisiaj w języku C/C++ lub asemblerze. Innym popularnym środowiskiem jest Delphi. Visual Basic wykorzystywany jest zwykle do tworzenia prostych, a nawet prymitywnych szkodników - poza Soberem, nie przychodzi mi do głowy żaden wirus napisany w tym języku, który wywołał globalną epidemię.

Ostatnie epidemie wirusowe wywoływane były zazwyczaj przez wirusy, takie jak Lovesan, Slammer, Sasser, Mytob oraz cały szereg różnych botów, które w celu rozprzestrzeniania się wykorzystywały krytyczne luki w systemie Windows. Sober nie wykorzystuje żadnych błędów w systemie, a jedynie błędy ludzkie, podobnie jak Mydoom, robak, który spowodował największą epidemię w historii komputerowej wirusologii.

Zagrożenia wirusowe ewoluują. Na początku złośliwe programy powstawały w celu wyrządzania niewielkich szkód (jak np. NetSky, Sasser i Lovesan), ostatnio jednak tworzone są z myślą o uzyskaniu dostępu do informacji użytkowników (Mytob, Bagle) i wykorzystaniu ich do osiągnięcia korzyści finansowych. Twórcy wirusów odchodzą od wywoływania globalnych epidemii na rzecz epidemii lokalnych, których ofiarami padają określone grupy użytkowników. Brak poważnych epidemii w roku 2005 możemy zawdzięczać częściowo branży antywirusowej, która potrafi zahamować epidemie, zanim osiągną rozmiary globalne. Taki względny spokój nie trwał jednak przez cały rok: w czwartym kwartale pojawił się Sober - robak napisany w prostym języku, który do rozprzestrzeniania się nie wykorzystuje żadnej luki, a jedynie pocztę elektroniczną. Nic nie wskazywało na to, że Sober został stworzony dla osiągnięcia zysku: robak nie kradł danych, nie tworzył botnetów, ani nie przeprowadzał ataków DoS. Sober w ogóle nie powinien przetrwać, a mimo to znalazł się na szczycie rankingów najpopularniejszych szkodliwych programów w czwartym kwartale 2005 roku. Brzmi to dziwnie, a biorąc pod uwagę wszystko to, o czym powiedzieliśmy wcześniej, wręcz niewiarygodnie.

Rodzina robaków Sober ma już dwa lata. Prawie każdy jej wariant stanowił znaczące wydarzenie w świecie wirusów. Poza szkodliwymi funkcjami robaka, jego autor wykorzystuje go do rozsyłania skrajnie prawicowej propagandy. Sober jest więc przykładem wirusów politycznych, o których informacje znajdują się w ostatnim raporcie. Nie można wykluczyć aresztowania autora robaka w najbliższej przyszłości; być może ostrzeżenie policji bawarskiej przed potencjalną epidemią Sobera oznacza, że organy ścigania są bliskie złapania jego twórcy.