Trend Micro szeptemberi statisztika -- megjelent az első JPEG-vírus
A TrendLabs mintegy 1485 új rosszindulatú kódot észlelt szeptemberben, az előző év azonos időszakában regisztrált 250 új rosszindulatú kóddal szemben. Az észlelt rosszindulatú kódok mintegy 61 százalékát a trójai programok (többek között a hátsó ajtók), 29 százalékát pedig a férgek teszik ki. A legmeglepőbb, hogy az ebben a hónapban a TrendLabs által észlelt férgek 79 százaléka (illetve több mint 400) bot program, mely a távolról irányított zombi hálózatok terjeszkedését tükrözi.
Nyilvánvaló változás észlelhető a víruskészítés motivációs hátterében. Míg korábban a vírusírók a hírnév megszerzésére törekedtek, úgy tűnik, hogy napjainkban a pénzügyi haszon és ellenszolgáltatás inspirálja őket. Ezt mutatja a "zombie" hálózatok létrehozására készített rosszindulatú kódok növekvő száma is. Ezek a hálózatok bármikor bérbe adhatók a legmagasabb összeget ajánlónak.
A jelenséget jól mutatják az információkat eltulajdonító trójai programok sikeres kiadásai is, például a TROJ_BANKER és TROJ_BANCOS variánsok, amelyek megpróbálnak fontos információkat -- többek között bankszámla-adatokat -- eltulajdonítani a fertőzött számítógépek felhasználóitól. A rosszindulatú kódok forrásának egyre könyebb elérhetősége az interneten egy másik meghatározó tényező, mivel lehetővé teszi a hackerek számára a kódok módosításával új variánsok létrehozását és "kiengedését a vadonba". Ez különösen igaz a Mydoom, Bagle és Lovgate típusú férgek esetében.
A "zombi" hálózatok létrehozására készített programok egyre gyakoribbak. A TrendLabs mintegy 400 ilyen jellegű (bot) program elterjedését jegyezte fel ebben a hónapban az előző év azonos időszakában észlelt 17-hez képest. Ezek a rosszindulatú kódok általában a hálózat sebezhetőségét és az internet relay chat (IRC) csatornákat használják ki, így biztosítva távoli támadási hozzáférést a megfertőzött számítógépekhez. Ez lehetővé teszi a támadó számára a rendszer feletti irányítás átvételét és felhasználható egy "zombie" hálózat létrehozására.
A zombie hálózat informatikai rendszerek egy csoportja, amely titokban használható rosszindulatú célokra, például túlterheléses támadásokra. Az ilyen hálózatok ideiglenes spamtovábbítóként is bérbe adhatók. A bot programok növekvő száma a bot hálózatok elterjedését mutatja.
A SASSER.B féreg a megjelenés után négy hónappal is vezeti a TrendLabs gyakoriság alapján felállított víruslistáját. 2004. szeptemberében a Sasser a listán szereplő fertőzések 31 százalékáért volt felelős -- a férget Indiában észlelték a legnagyobb mértékben. Ez azt mutatja, hogy még mindig sok olyan rendszer létezik, amely védtelen a szóban forgó sebezhetőséggel szemben, a biztonsági iparág minden szektorából indított folyamatosan ismétlődő kampányok ellenére.
2004. augusztus 25. és szeptember 25. közötti időszakban a Trend Micro csak egy közepes szintű riasztást jelentett be a WORM_BAGLE.AI féreghez kapcsolódóan. Az idei év korábbi vírusháborújának folytatásaként júliusban és augusztus elején a Bagle féreg jelentős új variánsait láttuk. E féreg legújabb variánsai összetettebb terjedési rutint használnak, mint az egyszerű tömeges levélküldési technikákat használó elődeik. Az újabb variánsok egy trójai program letöltő összetevőt és egy HTML parancsfájlt küldenek zip fájlban, valamint hálózati megosztásokon keresztül. A korábbi szokását megtartva a legújabb Bangle variáns továbbra is eltávolítja a rivális Netsky variánsok nyomait.
Szeptember 14-én a Microsoft MS04-028 számú biztonsági közleményében nyilvánosságra hoztak egy kritikus biztonsági rést a Windows összetevők .JPEG fájlkezelési módjában, amely lehetővé teszi, hogy a támadó egy tetszőleges kódot futtasson le egy célrendszeren. Egy hacker beágyazhat a JPG fájlba egy futtatható kódot e biztonsági rés kihasználására, amely automatikusan futtatásra kerül a fájl megnyitásakor vagy az előnézeti kép megtekintésekor a nem frissített gépeken. Ezeknek a kódoknak az automatikus futtatása az adott számítógépen található információkhoz ugyanolyan hozzáférési jogokat biztosít a támadónak, mint a valódi felhasználónak.
A biztonsági rés távolból történő kihasználása történhet speciális weblapokon keresztül, míg az e-mail alapú támadás esetében egy csatolt, módosított JPEG fájlt küldenek a kiszemelt felhasználónak. A terjesztés történhet hálózati megosztásokon keresztül is, ahol elhelyezhetőek a fertőzött JPEG fájlok másolatai. A felhasználó a folyamatot a megosztott tartalom megtekintésével, vagy az egér mutatójának a JPEG fájl felett történő mozgatásával indíthatja el.
E vírus felbukkanása egy kissé ijesztő, mivel a JPEG a képfájlok egyik leggyakrabban használt formátuma. A biztonsági rést kihasználó "koncepció" kódok mindössze három nappal a rés közzététele után jelentek meg. Szeptember 24-én észleltek egy eszközkészletet, amely a biztonsági rés teljes kihasználására készült. Ez az eszközkészlet jól mutatja, hogy valóban vannak közös erőfeszítések a hiba maximális kihasználására.
A Trend Micro HTKL_JPGDOWN.A néven észlelte az eszközkészletet, mely a JPEG hibát kihasználó JPEG fájlok létrehozására használható. Futtatáskor megjeleníti a következő üzenetet: JPEG Downloader by [ATmaCA].. Ezt követően kéri a felhasználót, hogy adjon meg egy URL-t, melyről az eszköz által létrehozott JPEG fájl elvégzi a letöltést. A felhasználónak egyszerűen a "Make" nyomógombra kell kattintania a speciális JPG fájl létrehozásához. (A Trend Micro az így létrehozott JPG fájlokat EXPL_JPGDOWN.A kódként ismeri fel.)