Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
10.05.2004 - Martin LEPIŠ - Novinky
Nemecká polícia podnikla úspešný záťah na tvorcov vírusov...

Keď sa 1.5.2004 podarilo AV-spoločnostiam identifikovať v sieti Internet nový internetový červ Win32/Sasser, len máloktorý používateľ venoval danej udalosti adekvátnu pozornosť. O niekoľko hodín neskôr sa o existencii či skôr masovom šírení tohto červa dozvedel celý svet a začal sa "boj" používateľov o získanie aktualizácií pre AV-systémy i OS MS Windows. Za uplynulých sedem dní červ Win32/Sasser infikoval podľa odborníkov viac ako 18 miliónov počítačov po celom svete. Na druhej strane nemožno však prehliadnuť ani to, že sa už minulý týždeň v piatok podarilo nemeckej polícii zadržať dvoch mladíkov, z ktorých jeden je podozrivý z vytvorenia a rozšírenia červa Sasser a druhý z vytvorenia trójskeho koňa Phatbot. Dostupné zdroje uvádzajú, že pri pátraní po podozrivých osobách pomáhali nielen tajné služby FBI a CIA, ale aj samotný Microsoft a niektoré popredné AV-spoločnosti. Pozrime sa na tieto dve udalosti teraz troška detailnejšie... .

Trójsky kôň Phatbot...
Dňa 7.5.2004 (... okolo 14:00 hod.) sa podarilo nemeckej polícii lokalizovať, v nemeckom mestečku Loerrach, a následne aj zadržať 21-ročného mladíka, ktorý je podozrivý z vytvorenia trójskeho koňa Phatbot. Ten je medzi používateľmi známy skôr ako vylepšený variant červa Win32/Agobot, resp. Win32/Gaobot. Bližšie informácie o jeho fungovaní i o tom, čo všetko dokáže vykonávať v infikovanom systéme sme Vám pred časom priniesli aj na našich web stránkach v článku nazvanom: "Počuli ste už o riziku skrývajúcom sa pod menom Phatbot?".
Hoci sa polícii pri vyššie spomínanom záťahu podarilo zadržať mladíka podozrivého z vytvorenia trójskeho koňa Phatbot, spolu s potrebnými dôkazmi, problémom aj naďalej zostávajú voľne sa šíriace zdrojové kódy, ktoré by mohli poslúžiť k vytvoreniu modifikovaných variantov tohto trójskeho koňa, či prispieť k vzniku nového a oveľa nebezpečnejšieho/deštruktívnejšieho škodlivého kódu. Zdrojové kódy sú totiž ešte aj dnes dostupné na viacerých početne navštevovaných undergroundových web sajtoch a k nim pridružených diskusiách. Tajné služby a polícia sa teda aj naďalej snažia identifikovať výskyt týchto kódov v rámci siete Internet a zabrániť ich ďalšiemu šíreniu – v mnohých prípadoch aj za celu zrušenia celých web stránok alebo diskusných fór.

V prípade dokázania viny hrozí mladému programátorovi trójskeho koňa Phatbot nemalý peňažný trest, prípadne trest vo forme verejno-prospešných prác.

Internetový červ Sasser...
V piatok (t.j. 7.5.2004, okolo 14:00 hod.) bola pre mnohé domáce i zahraničné médiá oveľa zaujímavejšou udalosťou v poradí druhá úspešná akcia nemeckej kriminálnej polície, pri ktorej sa jej podarilo v meste Rotenburg lokalizovať a tiež zadržať osobu podozrivú z vytvorenia a rozšírenia internetového červa Win32/Sasser. Podozrivým je podľa zatiaľ dostupných informácií 18-ročný študent Sven J., z Dolného Saska. Polícia rovnako ako v predchádzajúcom prípade zaistila pri domovej prehliadke viacero dôležitých dôkazov.
Necelé štyri hodiny po tom ako sa polícii podarilo zadržať podozrivého študenta bol identifikovaný v rámci siete Internet v poradí už štvrtý variant internetového červa Win32/Sasser. Odborníci sa domnievajú, že tento variant mohol byť do siete vypustený pánom Svenom J. tesne pred tým, ako ho polícia prekvapila a zadržala. Objavili sa aj dohady o tom, či náhodou Sven J. nemôže byť nejakým spôsobom prepojený s tvorcami červa Win32/Netsky, nakoľko posledný variant internetového červa Win32/Sasser (... ktorý je s veľkou pravdepodobnosťou ešte jeho dielom) sa snaží počas svojej činnosti odstraňovať z infikovaného systému konkurenčný červ Win32/Bagle.
Tu však treba poukázať aj na informácie, ktoré sa objavili na stránkach AV-spoločnosti F-Secure naznačujúce aj takú možnosť, že tvorcom emailových červov Win32/Netsky a internetových červov Win32/Sasser je "jedna a tá istá" osoba. Tieto dohady vo veľkej miere podporuje aj tá skutočnosť, že v kóde červa Win32/Netsky.AC bol objavený odkaz, ktorý naznačuje spojitosť medzi červom Win32/Netsky.V a Win32/Sasser.D – tu je konkrétna ukážka daného odkazu:

Hey, av firms, do you know that we have programmed the sasser virus?!?.
Yeah thats true! Why do you have named it sasser?
A Tip: Compare the FTP-Server code with the one from Skynet.V!!!
LooL! We are the Skynet...


Aby v tomto smere nezostalo len pri "slovách" vytvorila AV-spoločnosť F-Secure vzájomné porovnanie dvoch vyššie spomenutých červov (t.j. červa Win32/Netsky.V a červa Win32/Sasser.D) na úrovni ich výkonného kódu slúžiaceho pre počiatočnú integráciu obidvoch červov do systému (... pozri ukážku č.1 / č.2) a kódu slúžiaceho pre vytvorenie jednoduchého FTP servera (... pozri ukážku č.1 / č.2). Podarilo sa pritom zistiť, že dané kódy síce nie sú vizuálne úplne identické, no výsledkom ich činnosti je vždy identická operácia.

V prípade dokázania viny hrozí pánovi Svenovi J. podľa predbežných odhadov odborníkov nielen peňažný trest, ale aj trest odňatia slobody v dobe trvania až päť rokov.

V súvislosti s internetovým červom Win32/Sasser sa oplatí ešte spomenúť, že sa mu počas masového šírenia sieťou Internet podarilo ochromiť viacero významných informačných systémov – ako sú napríklad:

  • American Express (U.S.A.),

  • British Airways (Veľká Británia),

  • CoastGuard (Veľká Británia),

  • Country Hospital in Lund (Švédsko),

  • Post Office System (Taiwan),

  • SunTrust Bank (U.S.A.),

  • WestPac Bank (Austrália).

Problémy spôsobil aj u nás na Slovensku – a to jednak stovkám používateľov, ktorí zanedbali aktualizáciu OS MS Windows 2000/XP/2003 a tiež takým firmám ako je napríklad Slovak Telecom, kde červ vyradil z činnosti na niekoľko hodín niektoré interné informačné systémy.

Ako je možné vidieť tajné služby, policajné zložky a najmä väčšie softvérové a AV-spoločnosti sa v posledných mesiacoch veľmi intenzívne snažia spolupracovať pri pátraní po tvorcoch masovo sa šíriacich škodlivých kódov. Otázkou len zostáva, či sa vyšetrovateľom podarí zhromaždiť dostatok relevantných dôkazov, ktoré budú stačiť na usvedčenie vinníkov a ich následné potrestanie. Apropo, s napätím očakávame uvedenie Service Packu 2 pre OS MS Widnows XP, ktorý ako sme už viackrát informovali sľubuje výrazne vyššie zabezpečenie počítačových systémov ako pred útokmi zo strany hackerov, tak aj škodlivých kódov. Očakávať "zázraky" je zrejme zbytočné, nakoľko pokiaľ budú v produktoch od spoločnosti Microsoft ukryté tak závažné bezpečnostné diery ako doteraz je šanca na masové rozšírenie sa škodlivých kódov stále väčšia ako šanca, že nás proti nim ochránia pravidelne aktualizované AV-systémy a priebežne vydávané bezpečnostné záplaty.


P.S.: Pre tých používateľov, ktorých by náhodou zaujímalo ako rýchlo dokázali zareagovať jednotlivé AV-spoločnosti na výskyt prvých dvoch variantov internetového červa Win32/Sasser je určený článok od pána Andreasa Marxa nazvaný: "Win32/Sasser: So schnell reagierten die AV-Hesteller" (PC Welt.de).



Súvisiace články:
01.12.2004  Česká polícia sa začína zaujímať o tamojších tvorcov škodlivých kódov... - Novinky
01.12.2003  Polícia zadržala osobu podozrivú z vytvorenia internetového červa... - Novinky
05.09.2003  Rumunská polícia zadržala autora internetového červa Win32/Blaster.F... - Novinky
01.09.2003  Americká FBI zadržala autora jedného z variantov červa Win32/Blaster... - Novinky
11.11.2002  Autor vírusu VBS/VBSWG.J alias Kournikova prehral odvolanie... - Novinky
30.09.2002  Autor červa Linux/Slapper v rukách polície... - Novinky
21.06.2002  Autor vírusu Win32/Perrun prehovoril...?! - Novinky
10.05.2002  Autora makrovírusu Melissa odsúdili... - Novinky
17.12.2001  Autorský tím červa Win32/Goner v rukách polície... - Novinky


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.