Pošast zvana “Mydoom”

Novi računarski virus oborio je u nedelju, 1. februara, vebsajt softverske kompanije SCO Group. Kompanija Microsoft, druga meta virusa, priprema svoj sajt za sledeći napad

Računarski virus MyDoom (poznat i kao Novarg i MiMail.R) pojavio se u ponedeljak, 26. januara, i ogromnom brzinom proširio preko Interneta. Engleska anti-virus kompanija MessageLabs izjavila je da je kroz njene sisteme od ponedeljka do utorka propušteno 1,2 miliona “zaraženih” poruka. Zaraza je najžešće pogodila Severnu Ameriku, gde je lavina ekstra elektronske pošte stvorene delovanjem virusa narušila neke delove mreže.

Virus MyDoom stiže obično kao tekst fajl u dodatku (“atačmentu”) poruke koja sadrži neko tehničko upozorenje, tipa: “The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.” ili “Mail transaction failed. Partial message is available.”

Sadržaj poruka uspeo je da prevari čak i inače oprezne korisnike i navede ih na otvaranje dodatka. Naime, drugi virusi u prošlosti obično su navodili korisnike na otvaranje dodatka nudeći im erotske slike ili poruke privatne prirode.

Otvaranje dodatka pokreće program virusa. Virus prvo sebe šalje sa zaraženog računara na adrese koje je našao u žrtvinom adresaru, bilo kao lažni tekst fajl ili komprimovani zip fajl. Ovaj poslednji verovatno je pokušaj da se izbegnu antivirus programi koji blokiraju izvršne fajlove. Virus će iz zaraženog računara takođe pokušati da se proširi i preko popularne mreže za raspodelu fajlova Kazaa, ako je ova instalirana na žrtvinoj mašini. Virus se kopira u Kazaa direktorij maskiran kao kopija popularne računarske aplikacije, kao što su Microsoft offis aplikacije. Zaraza se odavde prenosi učitavanjem i pokretanjem fajla. Pored pokušaja širenja zaraze, virus na zaraženu mašinu smešta skriveni program koji zlonamernom hakeru daje kontrolu nad računarom sa daljine.

Skriveni program je podešen tako da 1. februara lansira napad na američku softver kompaniju SCO Group. Namera je da hiljade inficiranih računara složnim radom preplave sajt, stvore zagušenje i učine ga nedostupnim programima mrežnim pretraživačima. I konačno, virus sadrži tzv. “key-logging” program. On beleži poteze korisnika po tastaturi i može da se upotrebi za uzimanje lozinke ili informacije o kreditnim karticama. Dva dana po pojavi virusa, na mreži se pojavila i podvarijanta označena kao MyDoom.B. Računari zaraženi sa MyDoom.B virusom lansiraće, počevši od utorka 3. februara, dvanaestodnevni elektronski napad na glavni sajt kompanije Microsoft. Pored toga, MyDoom.B kod zaraženih računara izaziva promenu sistemskih fajlova sa namerom da se računaru onemogući pristup nekom od 65 vebsajtova, koji uglavnom pripadaju antivirus kompanijama. Radi se o očiglednom pokušaju sprečavanja korisnika da primeni zaštitu učitavanjem ili ažuriranjem antivirus programa. Programski kod nove verzije virusa sadrži i tekstualni deo, koji verovatno predstavlja poruku tvorca virusa: "sync-1.01; Andy; I'm just doing my job, nothing personal, sorry." (u prevodu: Endi, ja samo radim svoj posao, ništa lično, izvini.).

Ucena

Revoltirane kompanije žrtve, Microsoft i SCO, obećale su svaka po 250.000 dolara nagrade za informaciju koja bi dovela do hapšenja osobe koja je pustila virus na mrežu. Radi se o najvećoj sumi u skorijoj istoriji Amerike koju je za “nečiju glavu” u celosti ponudio privatni sektor – nalik ucenama koje su za pljačkašima raspisivale banke na Divljem Zapadu u 19. veku. Microsoft je naglasio da nagradu može da podigne stanovnik bilo koje zemlje. Slične nagrade Microsoft je do sada nudio dva puta i to za informacije o programerima Blaster i Sobig virusa, koji su prošlog leta zarazili stotine hiljada računara sa Windows operativnim sistemom.

Što se tiče porekla MyDoom virusa, pronađeno je nekoliko tragova. Ruska antivirus firma Kaspersky Labs izjavila je u sredu da je ušla u trag prvim mejlovima koji su zaraženi sa virusom i da se radi o adresama ruskih Internet servis provajdera. Mnogi smatraju da iza virusa stoji neki simpatizer Linux oprativnog sistema. Naime, u martu prošle godine zvaničnici kompanije SCO su izjavili da je kompanijino intelektualno vlasništvo nelegalno uključeno u Linux. Kompanija je zatim pokrenula parnicu protiv kompanija IBM, Red Hat i Novell. Kompanija je takođe zahtevala da joj kompanije koje koriste Linux plaćaju licencu za upotrebu.

Nokaut

Napad na sajt kompanije SCO pokrenut je ranije nego što se očekivalo. Sajt je bio gotovo nedostupan 16 časova pre predviđenog vremena. Stručnjaci smatraju da su za preuranjeni napad odgovorni loše podešeni satovi pojedinih zaraženih računara. Napad je otpočeo u subotu uveče i do nedelje ujutro sajt je bio potpuno preplavljen sa upitima koje su poslali zaraženi računari. Brzina i jačina napada iznenadili su stručnjake za bezbednost mreže i veći deo dana sajt je bio potpuno nedostupan. Pretpostavlja se da će napad trajati sledećih par nedelja. Sličan napad očekuje u utorak i Microsoft, na svom glavnom vebsajtu. Napad će verovatno biti nešto slabiji, pošto podvarijanta MyDoom.B nije stigla da se proširi koliko prvobitni virus. Inače, pored MyDoom-a u ponedeljak se javio još jedan virus, koji je zbog manjeg obima zaraze prošao gotovo nezapaženo. Radi se o virusu Dumaru, koji takođe instalira skriveni program koji traži informacije o kreditnim karticama i prenosi ih do svog tvorca.

Mrežna pošast

Analitičari procenjuju da je u 2001. godini ceh plaćen za borbu sa različitim Internet virusima i crvima iznosio oko 4 milijarde dolara. Do 2006. godine, predviđa se rast cifre na 10 milijardi dolara. Najznačajniji virusi do sada, prema antivirus kompanijama TruSecure/ICSA Labs, Trend Micro, F-Secure Corp., Sophos, Network Associates Inc., i Symantec Corp, bili su:

“Pakistani Brain”virus iz 1986. godine. Virus su napisala braća Amjad i Basit Faruk Alvi, sa namerom da posluži u reklamne svrhe za njihovu softversku kompaniju Brain Computer Services iz Lahore u Pakistanu. Veruje se da je ovo prvi PC virus koji je bio sposoban da zarazi flopi diskete.

“Morris Worm”, koji se na mreži našao 2. novembra 1988. godine. Radi se o prvom crvu – virusu koji se širio preko Interneta. Program za crv napisao je diplomac Kornel univerziteta Robert Moris Džunior. Crv je koristio manjkavost Unix operativnog sistema i za nekoliko dana proširio se na oko 6000 glavnih procesorskih jedinica ili oko 10 procenata ukupnog Interneta u to vreme. Moris, sin stručnjaka za bezbednost računara iz američke Agencije za nacionalnu bezbednost (NSA), osuđen je za narušavanje člana zakonika koji se odnosi na računarske prevare i zloupotrebe.

“Dark Avenger” virus, koji je 1989. godine uništio podatke i reference koje se odnose na pesme metal benda Iron Maiden. Program za virus napisao je tinejdžer iz Sofije (Bugarska). Dečko je takođe napisao i prvi polimorfni virus, koji menja karakteristike radi izbegavanja detekcije.

“Chernobyl” virus (poznat i kao CIH) iz 1998. godine. Program za virus napisao je Čing Ing-hau, podoficir Tajvanske vojske. Virus je bio podešen da se aktivira na godišnjicu nuklearne katastrofe u Černobilju, 26. aprila. Stručnjaci kažu da je virus napisan iz revolta prema antivitusnoj industriji koja nije bila u stanju da spreči infekciju vojnih računara.

“IloveYou” ili “LoveLetter”virus iz 2000. godine, koji se širio preko elektronske pošte. Tvorac virusa je filipinski student Onel de Guzman. Virus bi naveo ljude na otvaranje zaraženog dodatka (atačmenta) elektronskoj pošti, nakon čega bi ovaj instalirao program koji je omogućavao pristup lozinci na zaraženoj mašini.

“Anna Kournikova virus” iz 2001. godine, kojeg je pod pseudonimom“On the Fly”napisao holanđanin Jan De Vit. Nakon otvaranja dodatka, prevareni korisnik računara dobijao je sliku popularne ukrajinske teniserke. Jan De Vit je optužen za širenje podataka preko mreže sa namerom da se prouzrokuje šteta.

“Blaster” i “Sobig”crvi onesposobili su računare i izazvali gužvu na Internetu u avgustu i septembru 2003. godine. Sobig.F je postao jedan od najrasprostranjenijih virusa svih vremena. “Blaster” se širio koristeći nedostatke u zaštiti Windows operativnih sistema.

Novi računarski virusi i crvi u stanju su da preplave mrežu za svega nekoliko sati, jer antivirusni programi rade na principu identifikacije napada poznatih virusa i potpuno su nemoćni protiv nečeg potpuno novog. Razmatrajući problem, grupa stručnjaka kompanije Icosystem iz Kembridža, došla je na ideju da razvije program koji može da predvidi buduće hakerske ili virusne napade modelovanjem i “razvijanjem” napada na osnovu informacija o poznatim napadima.

Kompanija trenutno ispituje tehniku u saradnji sa vojskom SAD. Ideja je da se nove strategije napada generišu centralno i zatim ažuriraju antivirus programi na mreži koji služe za zaštitu računara širom sveta. Redovnim učitavanjem programa, računari će moći da se zaštite od napada virusa pre nego što su virusni programi uopšte i napisani. Prva verzija sistema napravljena je za predviđanje hakerskih upada, iako je tehnika primenjiva i na virusne napade.

Tehnika je zasnovana na mutaciji kratkih programskih zapisa koje hakeri koriste za upad u računare ili koje ubacuju u njih radi kasnije aktivacije. U borbu sa virusima uključila se i američka vlada, postavljajući u sredu, 28. januara, na mrežu novi nacionalni sistem za sajber uzbunjivanje. Namena sistema je hitno slanje upozorenja o izbijanju zaraze svim korisnicima u Americi koji se besplatno prijave na sajt www.us-cert.gov. Tu korisnici mogu da dobiju i detaljne instrukcije o zaštitnim merama protiv zaraze. Odmah po puštanju u rad, sistem je uputio prva upozorenja koja se odnose na pošast zvanu MyDoom.