Kronika epidemii

Przeczytaj także: Wirusowa epidemia

Zmiana strategii i sposobu działania twórców złośliwych kodów jest łatwa do zdiagnozowania. Firmy antywirusowe po wykryciu wirusa tworzą szczepionkę. Podczas epidemii udostępniane są również specjalne narzędzia do usuwania skutków działania oraz neutralizacji najaktywniejszych z nich. Panda Software, na przykład, oferuje darmowe narzędzia z serii PQRemove do czyszczenia zainfekowanych komputerów. Im więcej wirusów się pojawi, tym większe jest prawdopodobieństwo, że któryś z nich odniesie sukces i zarazi komputer użytkownika. Setki e-maili trafiających do skrzynek odbiorczych sprawiają, że zarażenie pozostaje jedynie kwestią czasu. Wcześniej czy później użytkownik popełni błąd.

Jak nigdy dotąd czas ma tu kluczowe znaczenie. Najmniejsze opóźnienie w aktualizacji ochrony, czy to ze strony użytkownika czy firmy produkującej oprogramowanie antywirusowe może być krytyczne w skutkach.

Panda Software postanowiła przytoczyć zapis chronologiczny wydarzeń ostatnich dni. Użytkownicy mają szansę zobaczyć na własne oczy, jak doszło do zaistniałej sytuacji powszechnego zagrożenia.

Sobota, 28 lutego:
Pojawia się wirus Bagle.C, który zaczyna się rozprzestrzeniać niezwykle szybko na całym świecie. Kolejne mutacje: Bagle.D i Bagle.E pojawiają się niemal natychmiast.
Po ocenie sytuacji Panda Software ogłasza tzw. żółty alarm.

Niedziela, 29 lutego:
W niedzielę zostają zaobserwowane warianty F oraz G robaka Bagle. Mimo, że jak to w niedzielę poziom aktywności złośliwego kodu spada, to na efekty działania nowych odmian wirusa nie trzeba będzie długo czekać.

Poniedziałek, 1 marca:
Firmy rozpoczynają swoją działalność po przerwie weekendowej. Nowe odmiany Bagle zaczynają dawać się we znaki. Panda Software odnotowuje znaczący wzrost stopnia propagacji złośliwego kodu. Licznie zarażane są coraz to inne komputery. Prym wiodą warianty C i E wirusa. Obserwacje potwierdzają dane gromadzone na potrzeby wirusowego rankingu Top Ten. Robak Bagle dołącza szybko do najczęściej wykrywanych przez darmowy skaner antywirusowy Panda ActiveScan złośliwych kodów.

Netsky.D zaczyna się rozprzestrzeniać i zostaje dostrzeżony na całym świecie. Pod koniec dnia wirus ten ma już trzecią pozycję wśród najczęściej wykrywanych złośliwych kodów. Jak się okazało do końca dnia pozostało wystarczająco dużo czasu, aby pojawił się jeszcze jeden nieproszony gość Netsky.E. Jednak to nie wszystko wykryty zostaje również wariant H Bagle'a.

W związku z sytuacją Panda Software ogłasza najwyższy alarm antywirusowy.

Wtorek, 2 marca:
Pojawianie się nowych kodów powoli się normalizuje, niestety są powody przypuszczać, że to jedynie przejściowa cisza. Netsky.D, oraz wariant C i E Bagle'a kontynuują swoje działanie na całym świecie. Te trzy złośliwe kody zdominowały całą arenę wirusową na świecie. PandaLabs wykrywa jeszcze jednego kuzyna Bagle: Bagle.E.

Środa, 3 marca:
Fala wirusów wzmaga się. W krótkim czasie pojawiają się Bagle.J, Bagle.K, Netsky.F, Mydoom.G oraz Mydoom.H. Jednak Netsky.D nadal prowadzi w rankingu najaktywniejszych wirusów.

Sytuacja pogarsza się. Powodem takiego stanu rzeczy jest swego rodzaju cyber wojna pomiędzy autorami wirusów. Objawia się w obraźliwych wiadomościach zawartych w kodzie źródłowym wykrytych wirusów. Dla przykładu (w wolnym, nieco złagodzonym tłumaczeniu):

Netsky.F: Skynet Antivirus - Bagle jesteś przegranym!
Mydoom.F: do autorów netsky'a: imho, skynet to sieć peer-to-peer. Znamy to już ze Slappera, było w Sinit. One mają prawo do takiej nazwy, ale nie wasza g... twórczość.
Mydoom.G: j.w.
Bagle.J: Hej, NetSky, pier..... się, nie wchodź nam w paradę, chcesz wojny?

Tego samego dnia pojawiają się kolejne złośliwe kody: Nachi.E. Nie wiadomo, czy ten typ ma też coś wspólnego z "wojną".

Czwartek, 4 marca:
Ranek zdaje się być spokojny. Szturm nadal trwa, Laboratoria Antywirusowe Pandy wykrywają nowy wariant G robaka Netsky, który po raz pierwszy zawiera wiadomość – wyzwanie rzucone autorom Bagle'a i Mydooma:

Netsky AntiVirus – Dajcie spokój bagle & mydoom, chłopaki! ........ ! Chiałbym soptkać was w U.S.A, (tu zaszyfrowane dane), i poznacie co to ból!

Dodatkowo nowe warianty Bagle - odmiany od .F do .K - już nie tylko fałszują adres nadawcy zawirusowanego e-maila, ale także przenoszą się jako chroniony hasłem plik ZIP załączony do wiadomości zawierającej hasło. Ten prosty fortel został zastosowany po raz pierwszy. Miał uniemożliwiać wykrycie wirusa na serwerach poczty oraz za pomocą skanerów online i tym samym gwarantować szkodnikowi przedostanie się do skrzynki odbiorczej potencjalnej ofiary. Jedyną szansą skutecznej reakcji programu antywirusowego miał być moment rozpakowania takiego archiwum. Do PogotoVia AntyVirusowego Pandy Software zgłaszają się liczne ofiary tej sztuczki. Te osoby najczęściej odruchowo uznały za niegroźny plik zabezpieczony hasłem, w dodatku przesłany z adresu zaufanego znajomego.

Piątek, 5 marca:
Dzień był względnie spokojny. Sytuacja jednak nadal jest napięta. PandaLabs wykrywa wariant H Netsky'a. Różnice są minimalne. Zmieniono czas w którym robak zacznie swoją dodatkową działalność: między 11:00 a 11:59, 8 marca.
Netsky.H zawiera również kolejny komunikat do autorów Bagle i Mydooma:
Skynet AntiVirus - MyDoom i Bagle to dzieciaki.