Coraz większe zagrożenie wirusami

Przeczytaj także: Ataki internetowe w 2004r.

Sierpień – miesiącem wojny wirusów

W sierpniu laboratorium ds. ochrony danych w centrali firmy w Helsinkach rozpoznało przyczynę wojny botów, która – zanim została powstrzymana – zdążyła rozpętać się na skalę międzynarodową. Wszystko zaczęło się od nowego wirusa wykorzystującego lukę w zabezpieczeniach funkcji PnP systemów firmy Microsoft (poprawka nr MS05-039). W miarę rozprzestrzeniania się wirusa zaatakowana została witryna serwisu CNN, a następnie witryny gazet „Financial Times” i „The New York Times” oraz serwisu ABC.

Do ataku wykorzystany został wirus Zotob wspomagany kilkoma wariantami botów, które – co ciekawe – rywalizowały ze sobą o zainfekowane maszyny, wypierając się nawzajem. Walka toczyła się między dwiema grupami – z jednej strony atakowały wirusy IRCBot i Bozori, z drugiej natomiast wirus Zotob i inne boty. Doszło do poważnych zakłóceń w pracy systemów, szczególnie w branży środków przekazu, ostatecznie jednak atak został odparty. W kolejnych dniach raport firmy F-Secure znalazł się na pierwszych stronach ponad 500 różnych gazet codziennych. Niedługo po ataku aresztowano dwóch młodych ludzi, którzy stworzyli wykorzystującego lukę w systemie PnP robaka Zotob – władze Maroka zatrzymały 18-letniego Farida Essebara (ps. „Diabl0”), a władze tureckie – 21-letniego Atillę Ekici (ps. „Coder”).

M-wirusy się rozmnażają.

Rośnie zainteresowanie złośliwymi aplikacjami atakującymi urządzenia mobilne. Do tej pory ich liczba przekroczyła 100. Na początku wirusy atakowały telefony wyposażone w system Symbian. To właśnie ta grupa stanowi najliczniejszą odmianę pośród m-wirusów, co wiąże się z powszechnym wykorzystywaniem systemu Symbian.

Warunkiem prawidłowej pracy wielu programów w systemie Symbian jest dostępność połączenia Bluetooth. Niektóre z nich aktywują to połączenie bez wiedzy użytkownika lub wyświetlają prośbę o zgodę na jego włączenie w sposób wyraźnie zachęcający do udzielenia odpowiedzi twierdzącej. Istnieje również wiele aplikacji wykorzystujących łączność Bluetooth do celów towarzyskich – przykładami mogą być chociażby programy YOU-WHO i CrowdSurfer, które umożliwiają udział w grach i zabawach towarzyskich, przyzwyczajając użytkowników do przyjmowania wszelkich połączeń i plików od nieznanych osób.

Bardzo agresywnie rozprzestrzenia się większość odmian wirusa Cabir, które stale wyświetlają żądanie połączenia Bluetooth, nawet jeśli uzyskują odpowiedź przeczącą. Znudzony ciągłymi przypomnieniami użytkownik ostatecznie klika przycisk „tak”, a efekty takiej decyzji można łatwo przewidzieć.

Mechanizmy wykrywania rodzajowego zastosowane w programie F-Secure Mobile Anti-Virus okazały się skuteczne przeciwko 61 niebezpiecznym programom atakującym system Symbian ( czyli 74% wszystkich zagrożeń). Wykrywanie rodzajowe oznacza definiowanie niebezpiecznych programów i powstrzymywanie ich działania bez konieczności aktualizacji bazy danych.

Commwarrior nadal się rozprzestrzenia

Jednym z wirusów o największej skali rozprzestrzeniania się jest Commwarrior, który zaatakował urządzenia nawet w tak odległych zakątkach jak Indie czy południowa Afryka.

W sierpniu firma F-Secure wykryła nową odmianę konia trojańskiego nazwie Doomboot A, który powodował zniszczenia telefonów na skalę do tej pory niespotykaną. Podobnie jak wiele koni trojańskich atakujących system Symbian, Doomboot.A podszywa się pod piracką kopię gry przeznaczonej dla tego systemu. W związku z tym osoby, które nie pobierają i nie instalują pirackich gier i aplikacji, nie są narażone na przykre niespodzianki.

Niepokojącym aspektem działania wirusa Doomboot są nieprzyjemne skutki, jakie wywołuje w połączeniu z wirusem Commwarrior. Doomboot.A uniemożliwia ponowne włączenie telefonu, a Commwarrior powoduje tak duży ruch w sieci Bluetooth, że w ciągu mniej niż godziny dochodzi do rozładowania akumulatora. W efekcie użytkownik, którego aparat został zainfekowany wirusem Doomboot.A, ma mniej niż godzinę na zareagowanie i pozbycie się wirusa z urządzenia – w przeciwnym razie traci wszystkie dane.