Megtekinthetitek a heti vírus statisztikát, és még hasznos olvasnivalókat találhattok itt.

Heti vírus statisztika

Heti TOP-20 lista a WWW.VIRUSLIST.COM adataiból
Feldolgozott időszak: 2004.02.13.-2004.02.19.
Készült: 2004.02.19. Csütörtök 08:30:03

Százalék Darab Vírusnév
------------------------------------------------------------
19.15% 37935 Worm.Win32.Doomjuice.b
18.33% 36310 I-Worm.Mydoom.a
5.62% 11129 Trojan.Win32.Filecoder
5.41% 10723 Worm.Win32.Lovesan
5.13% 10154 Worm.Win32.Doomjuice.a
4.52% 8949 I-Worm.Mydoom.b
3.95% 7824 Worm.Win32.Welchia.a
3.75% 7423 Worm.Win32.Ladex
3.68% 7280 I-Worm.Sober.c
3.27% 6477 I-Worm.FireBurn
3.26% 6455 Worm.Win32.Welchia.b
3.19% 6324 I-Worm.Klez
3.00% 5940 Win32.Parite
2.71% 5359 I-Worm.Swen
2.62% 5194 Trojan.Win32.SecondThought.c
2.57% 5097 Trojan.Downloader
2.41% 4776 Backdoor.IRC.SdBot
2.13% 4216 Backdoor.Agobot.3
2.08% 4124 I-Worm.Mimail.i
1.55% 3066 I-Worm.Mapson


2004 a vírusvédelemben is a majom éve lesz

Mikor Katrin Tocheva, a finn F-Secure cég antivírus részlegének vezető
kutatója idén január 27-én késő este először találkozott a MyDoom
féreggel, azonnal kinyújtotta a kezét és lecsapott az asztala mellett
álló majomra. Ez a majom egyszerű játékszer, ami visít, ha ráütnek. Az
F-Secure víruselemző csapata vészjelzésre használja; mikor a majom
üvölt, mindenki tudja, hogy új féreg vagy vírus jelent meg a láthatáron.

2004 elején rettentő sokszor bőgött a majom és voltak olyan idők, mikor
Katrin legszívesebben maga is sikított volna. "Minden a Beagle féreg
január 18-ai megjelenésével kezdődött, melyet még számos vírus
követett" - mondta. "Mikor a MyDoom.A felbukkant, már két hete szinte
éjjel-nappal dolgoztunk."

"Az eredeti MyDoom-ot később követte annak B variánsa és a DoomJuice
féreg, majd megjelent a Nachi.B nevű is - alig egy hónap leforgása alatt
tízszer fújtunk riadót, és pihenésre gyakorlatilag időnk sem jutott. Ez
teljesen az őrületbe kergetett."

Mikor a majom sikolya végigfut az F-Secure Helsinkiben lévő
főhadiszállásának negyedik emeleti antivírus részlegén, a csapat
összegyűlik, hogy megbeszéljék a kialakult helyzetet és kiosszák a
feladatokat. A tennivalók igen sokfélék: vissza kell fejteni a vírus
kódját, hogy megtudják, mit tesz az adott kártékony szoftver; el kell
készíteni egy rövid ismertetőt a vírus tevékenységről; tesztelni kell az
"ellenszert" és az antivírus szoftverekhez ki kell adni kívánt
frissítéseket; végül egy olyan részletesebb leírásra is szükség van,
melyet az Interneten fognak megjelentetni.

Ezzel egy időben egy házon belüli riasztás is életbe lép, amely kihat az
egész iroda működésére. Például Radar 1-es szintű riadó esetén (ezt csak
a legpusztítóbb kártevők esetén adják ki) automatikusan törlődik a
víruskutatók minden előre megbeszélt találkozója, hiszen ők éppen eléggé
el lesznek foglalva a veszély elhárításával; eközben a recepciósok minél
több munkatársat próbálnak berendelni a telefonhívások növekvő számának
kezelésére.

"A dolgok azonban meglepően nyugisan történnek. Nincsenek villogó vörös
fények vagy idegölő szirénák ... az üvöltő majom kivételével" - árulta
el Erdélyi Gergely, az F-Secure egyik víruskutatója. "Az emberek nem
rohangálnak eszüket vesztve, nem ütköznek sem egymásba, sem a falakba.
Sokkal inkább jellemző, hogy a szokásosnál is nagyobb csend nehezedik a
teremre; miközben mindenki megpróbálja kitalálni, hogy mi is legyen a
következő lépés."

Egy új vírus mintája több forrásból is eljuthat az F-Secure-hoz. Néha
maguk az ügyfelek küldik be, néha pedig az AVED levelezési listáról
érkezik, melyen a világ minden táján élő víruskutatók osztják meg
tapasztalataikat egymással. Bárhonnan is származzon, a legfontosabb
munka a programkód elemzése.

"Vírusvédelmi specialistákat hivatalosan sehol sem képeznek" -jelzi
Mikko Hypponen, az F-Secure antivírus részlegének igazgatója. "A legtöbb
egyetemen már az assembly nyelvet sem oktatják. A kódvisszafejtés
(reverse engineering) pedig olyan képesség, amely kihalófélben van.
Ezért rá vagyunk kényszerítve, hogy ahol csak tudunk, szakemberek után
kutassunk. Pedig aki ebből szeretne megélni, annak bizony furcsa
embernek kell lennie."

A csapat első dolga a vírus tevékenységének meghatározása. Kicsomagolják
a víruskódot, a titkosított részeket visszafejtik az elemzés érdekében
és olyan további nyomok után kutatnak, melyek kapcsolatban lehetnek a
vírussal. Ilyen például egy weboldal, ahol a kártevő újabb komponenseit
találhatók meg - említi Alexey Podrezov víruskutató.

"Mi is megpróbáljuk megfertőzni a saját tesztkörnyezetünket, mely
alapbeállítású otthoni számítógépet és egy néhány munkaállomásból plusz
szerverből álló egyszerű vállalati hálózatot reprezentál."

Tocheva elmondása szerint röviddel azután, hogy a csapat megkezdte a
MyDoom kódjának elemzését, ő már tudta, hogy "rémálmainkban szereplő
hatalmas járvány" fog bekövetkezni. Pedig a MyDoom semmi jelét sem
mutatta egy közelgő óriási vírustámadásnak: nem indult el magától amikor
a felhasználó megnyitotta a fertőzött e-mailt és nem használt ki
semmilyen Windows sebezhetőséget sem. A különböző antivírus fórumok és
egyéb hírforrások figyelése során azonban nyilvánvalóvá vált, hogy a
MyDoom hihetetlenül gyorsan terjed.

"Elég nehéz előre megjósolni, hogy mely kártevők fognak problémákat
okozni" - mondta Erdélyi Gergely. "Ha nyilvánvaló, hogy hibát vétett a
programozó és "bug"-os a vírus, a kártevő természetesen nem juthat túl
messzire. Másrészt viszont nagyon egyszerű és primitív példányok is
hatalmas pusztítást vittek véghez a közelmúltban. A SoBig és MyDoom
például igen egyszerű üzeneteket küld, mindkettő arra játszik, hogy a
címzett saját kezűleg indítja el őket. A tapasztalatok szerint sajnos a
felhasználók tényleg megteszik ezt."

Hypponen úr szerint azt a néhány ezer számítógépet, melyeken még mindig
megtalálható a MyDoom, hosszú időn keresztül fogják spammelésre
használni tulajdonosaik tudta nélkül. A fertőzött rendszereken nyitva
áll egy hátsó ajtó, melyen át rosszindulatú hackerek törhetnek be a
gépbe, és átvehetik az irányítást. Kéretlen reklámlevelet is küldhetnek,
de akár szolgálatmegtagadási (DoS) támadásra is felhasználhatják ezeket
a "zombivá" lett PC-ket. Mikko Hypponen közlése szerint a hackerek jó
pénzért árulják az ilyen gépekhez való hozzáféréseket a spammerek
számára.

"Mikor csak tehetjük, megpróbáljuk értesíteni a fertőzött rendszerek
gazdáit. A Slapper féregjárvány idején minden fertőzött számítógép
rendszergazdájának küldtünk egy-egy e-mailt - összesen több tízezret. Ez
2002 végén történt és csupán igen kevés visszajelzést kaptunk. A legtöbb
esetben azonban nem egyszerű kideríteni, hogy ki is birtokol egy
bizonyos gépet, mert ezt csak az Internet-szolgáltatók tudják.

Abban a reményben, hogy az informális hangnem segíthet felkelteni
figyelmet a vírusok jelentette veszély iránt, az F-Secure kutatói
elindítottak egy "weblog"-ot "www.f-secure.com/weblog", ahol angol
nyelven, időrendben közlik az új vírusok és nagyobb járványok nyomon
követése közben szerzett egyéb információikat.

A MyDoom egyike azon vírusoknak, melyre az F-Secure kutatói hosszú időn
át emlékezni fognak. Katrin Tocheva számára emlékezetes marad a Melissa,
a SoBig, a Blaster és a Nimda féreg okozta járvány; személyes listáját
azonban a Loveletter (vagy más néven Lovebug) harmincnál is több
változata vezeti, melyeket alig 5 nap leforgása alatt jelentettek meg.

"Néhány kártevő variánsai olyan gyorsan jelennek meg, hogy az előző
verzió elemzésének végeztével szinte azonnal neki is állhatunk az új
változatnak" - mondta Podrezov. "Egy előnye azért van ennek - a munka
sohasem unalmas, minden nap valami újjal találkozhat az ember, új
kihívással. Nagy elégtételt jelent, mikor sikerül túljárni a vírusírók
eszén."

Erdélyi Gergely szerint az egyszerű és primitív vírusok sokkal
idegesítőbbek az összetettebb társaiknál. "Az embernek az idegeire megy
és nem is túl inspiráló, ha mindig ugyanazt kell csinálni. A víruskutató
akkor boldog, ha mindig új dologgal találkozhat."


Kiütik a víruskészítőket?

Szinte minden hírportálon vezető hírként jelent meg a tizenkilenc éves
belga lány letartóztatása, azonban az angol rendőrség is eredményes
volt: egy 29 éves férfit vettek őrizetbe, akit a "Forces Reunited"
weboldal feltörésével vádolnak.

Lehetséges, hogy csupán a véletlennek köszönhető a két hacker közel egy
időben történt letartóztatása, az viszont biztos, hogy az utóbbi idők
féregjárványai és az általuk okozott pusztítás miatt a bűnüldöző szervek
egyre jobban figyelnek a víruskészítőkre, és mindent megtesznek, hogy
sikeresen felléphessenek ellenük.

A hölgyet egy 24 órás kihallgatás után szabadon engedték, azonban
lefoglalták számítógépeit, és később bíróság előtt kell felelnie
tetteiért. A Gigabyte fedőnevű hölgy többek közt azzal vált híressé,
hogy ő készítette az első .Net-es vírust, melyet C#-ban írt. A rendőrség
szerint őrizetbe vétele előtt egy új vírust készült szabadon engedni.
Legrosszabb esetben akár három év börtönbüntetésre is számíthat.

A férfit, akiről életkorán kívül semmit sem árult el a wiltshire-i
rendőrség, Lancashire-ban tartóztatták le. Az ellene felhozott vád egy
veterán katonákról szóló honlap feltörése, szintén bíróság elé kerül az
ügye, és csak óvadék ellenében helyezték szabadlábra.

Lehetséges, hogy a bűnüldöző szervek későn ébredtek, azonban
rohamtempóban próbálják behozni technikai lemaradásukat. Az Egyesült
Államoktól kezdve az Európai Unió tagállamain keresztül Japánig szinten
minden országban felállítottak már speciális, kiber-bűnözőkre
szakosodott részlegeket.

Hazánkban az ORFK Kommunikációs Igazgatóságán 2000. február 1-jén
alakult meg azon egység, melynek feladata az Interneten való rendőri
jelenlét. Az Internet Csoport jelenleg az Operatív Elemző és
Koordinációs Osztály keretei között tevékenykedik.

Az utóbbi hónapokban nyilvánosságra hozott hackerek és víruskészítők
letartóztatásának üzenete egyértelmű: a hivatalos szervek is próbálják
felvenni a kesztyűt, és egyre szorul a hurok a tudásukat rossz célokra -
esetleg tudatos anyagi károkozásra - használó számítógép-fanatikusok
körül.