Számítógépvírusok: Jönnek a férgek

  • Bodoky Tamás
  • 2002. február 28.

Tudomány

A flopilemezen kézről kézre terjedő DOS-vírusok kora lejárt: ma már az interneten keresztül támadnak a legelterjedtebb Microsoft szoftverek hiányosságait kiaknázó kártevők. Egyre hevesebb és pusztítóbb globális digitális járványok alakulnak ki a szoftver-monokultúrában: 1999-ben a szövegszerkesztő és táblázatkezelő alkalmazásokon keresztül fertőző makrovírusok jelentették a legnagyobb fenyegetést, 2000-ben az e-mailben terjedő szkriptvírusok okozták a legtöbb bosszúságot, tavaly viszont átvették az uralmat az e-mailben és megosztott hálózatokon egyaránt terjedő féregvírusok, versenyfutásra kényszerítve a felhasználókat, és milliárdos piacot teremtve a vírusirtóknak.

A flopilemezen kézről kézre terjedő DOS-vírusok kora lejárt: ma már az interneten keresztül támadnak a legelterjedtebb Microsoft szoftverek hiányosságait kiaknázó kártevők. Egyre hevesebb és pusztítóbb globális digitális járványok alakulnak ki a szoftver-monokultúrában: 1999-ben a szövegszerkesztő és táblázatkezelő alkalmazásokon keresztül fertőző makrovírusok jelentették a legnagyobb fenyegetést, 2000-ben az e-mailben terjedő szkriptvírusok okozták a legtöbb bosszúságot, tavaly viszont átvették az uralmat az e-mailben és megosztott hálózatokon egyaránt terjedő féregvírusok, versenyfutásra kényszerítve a felhasználókat, és milliárdos piacot teremtve a vírusirtóknak.Aszámítástechnika hőskorában a víruskészítés nagy szakértelmet kívánó, igazi kihívást jelentő hobbi volt, melynek jellemzően unatkozó vagy sértett programozók és dicsőségre vágyó bitbuherátorok hódoltak: helyenként egész kollektívákon úrrá lett az adatpusztítás mámora, legendák szólnak például a kilencvenes évek elején a globális vírusjárványok epicentrumának számító bolgár vírusíró-szubkultúráról, amelynek egy szófiai számítástechnikai elitiskola adott otthont. Itt az elsőévesektől a professzorokig mindenki azzal volt elfoglalva, hogy minden korábbinál pusztítóbb kódsort szabadítson a világra, és egy erre a célra dedikált szervert, a hírhedt "Virus Exchange BBS-t" tartottak fenn az egyetemen. Akkoriban a víruskészítés még underground elfoglaltságnak számított Amerikában is, hackercsapatok versengtek a graffiti elektronikus megfelelőjének tartott műfajban: mindenki ismerte például a New York-i Hellraiser nevét, és nagynevű mesterséges intelligenciakutatók kísérleteztek a vírusevolúció beindításával.

A Windows operációs rendszer, a Microsoft-alkalmazások és az internet terjedése azonban alaposan leegyszerűsítette a víruskészítők dolgát: a digitális monokultúrában jóval gyorsabban terjednek a kártevők, amelyeket ma már mindenféle szakismeret vagy előképzettség nélkül bárki előállíthat az erre a célra szolgáló segédprogramok valamelyikével. A civil e-mailforgalomban egyeduralkodóvá vált Microsoft Outlook levelezőprogram ugyanis támogatja az extra funkcionalitást biztosító, Visual Basic programnyelven íródott szkripteket (VBS), de ez a programnyelv kitűnően alkalmas szkript- és féregvírusok létrehozására is. A VBS-vírusok előállítását pedig már automatizálták az élelmes hackerek: az internetes warez-oldalakon hozzáférhető VBS Worm Generator (féregkészítő) szoftver például rendkívül egyszerűen, néhány egérkattintással kezelhető egyedi vírust szabadít a könnyen becsapható, minden csatolt állományt megnyitó felhasználókra.

Szerelemvírus, Melissa, Kurnyikova

Az első nagy pusztítást végző VBS-vírus a Melissa volt még 1999-ben, amely a fertőzött gép e-mail címlistájában szereplő első 50 címre küldte szét magát, néhány nap alatt eltömte a világ mailszervereit, és csak az Egyesült Államokban 80 millió dolláros kárt okozott. Még ennél is gyorsabban terjedt 2000-ben az "I love you" címsorral érkező "szerelemvírus", amely szintén térdre kényszerítette a mailszervereket, ráadásul adatokat törölt a fertőzött gépekről, az ott talált jelszavakat pedig továbbította készítőjének. Ezeknek a vírusoknak az előállítóit még sikerült kinyomozni: a Melissát szabadjára engedő New Jersey-i David Smith és a szerelemvírusért felelős Fülöp-szigeteki Onel Guzman egyaránt börtönbüntetést kapott. A férgek azonban kiszabadultak a palackból, és azóta egyre gyakrabban és változatosabban támadnak: a vírusíró célszerszám birtokában a VBS-vírusok készítőinek csak egy- valamire van szüksége: a nagy ötletre, ami a levelükhöz csatolt állomány megnyitására készteti az ismétlődő fertőzések hatására egyre gyanakvóbb felhasználókat.

Ötletekben pedig nincs hiány: 2001 februárjában Anna Kurnyikova teniszcsillag fotójával kecsegtető vírus járta be a világot, amelyben az alattomos (bár járulékos kártételekkel ezúttal nem fenyegető) kódot "AnnaKournikova.jpg" néven tette érdekessé az ismeretlen szerző. Nem sokkal később a "Homepage" vírus annyi újdonsággal szolgált, hogy négy pornóoldalt nyitott meg a fertőzött gép böngészőablakában. A vírus írói - három holland tinédzser - anonim e-mailben közölték a Wired magazinnal, hogy a "homepage" tulajdonképpen nem vírus, hanem marketingeszköz, hiszen az érintett pornóoldalak látogatottsága az akciónak köszönhetően az eget verdesi, ily módon jelentős extraprofitot termelve az üzemeltetőiknek. A "Kurnyikova" és a "homepage" vírus is féregíró programmal íródott, de erre a kaptafára készült a csatolmányát meztelen feleségnek álcázó "Naked Wife", weboldalnak álcázó "myparty", képernyővédőnek álcázó "Goner" féregvírus is.

Vörös aratás

A legnagyobb zűrzavart a "Sircam" névre keresztelt Outlook-vírus okozta, amely a fertőzött gépeken talált dokumentumokat válogatás nélkül küldözgeti tovább a címlistában talált felhasználóknak, bizalmas, esetenként szigorúan bizalmas információk millióit közszemlére téve. A vírus az FBI titkos iratait is megszellőztette, csakúgy, mint a Leonyid Kucsma ukrán elnök merevlemezén talált állományokat. Magyar viszonylatban árlisták, végrendeletek, szerződéstervezetek, sőt belügyminisztériumi előterjesztések is útra keltek a neten, az Index szerkesztősége hónapokig szórakozott a naponta tucatjával érkező csemegéken.

Az Outlook-vírusoknál is komolyabb fenyegetést jelentenek a Microsoft webkiszolgáló alkalmazását, az Internet Information Servert támadó féregvírusok: az első ilyen, a tavaly júliusban felbukkant "Code Red" feltehetően egy kínai szakember keze munkáját dicséri, ugyanis a fertőzött webszervereken elhelyezett oldalakat a "Hacked by Chineese" üzenettel írta felül. A fertőzés második napjára háromszázötvenezer szerver - köztük a Microsoft egész szerverfarmja - kapta el a férget, és kisvártatva az összes fertőzött gép túlterheléses (Denial of Service) támadást indított a Fehér Ház webszervere ellen. Az elnöki honlap karbantartói a brutális erejű adatszökőár ellen a szerver IP-címének megváltoztatásával védekeztek. A "Code Red" egy mutációja augusztusban ismét aktivizálta magát, és a fertőzött szerver feletti hatalom átvételét lehetővé tévő kiskaput hagyott maga után.

Levélbomba helyett

A tavalyi év legrafináltabb féregvírusának a szeptemberben felbukkant "Nimda" bizonyult: ez a kártevő már a felhasználó tevékeny közreműködése, a csatolmányra való rákattintás nélkül is képes terjedni. A Nimdát azáltal is elkaphatjuk, hogy fertőzött webszerver által kínált weboldalra tévedünk, de megosztott hálózati hozzáféréseken keresztül is bejuthat, vagyis egy munkahelyi hálózaton egyetlen gép megfertőződése elég ahhoz, hogy mindenkihez eljusson a vírus.

A számítógépvírusok által okozott kár nagyon nehezen számszerűsíthető, de mindenképpen dollármilliárdokra rúg: egyes becslések szerint egyedül a Code Red munkaidő-kiesésben és pluszmunkában 2,6 milliárd dolláros kárt okozott. Noha 2001-ben a vírusfertőzések több mint a feléért a Nimda és a Sircam volt a felelős, tavaly összesen 11 160 új vírust regisztráltak a szakemberek. A Sophos vírusirtó cég becslése szerint jelenleg naponta 40, havonta 1200 vírus indul hódító útjára az interneten.

Bodoky Tamás

Top 10

1. Nimda 2. SirCam 3. Magistr 4. Hybris 5. Apology 6. Homepage 7. Kakworm 8. Kurnyikova 9. Code Red

10. BadTrans

Kenderféreg

Az egzotikusnál egzotikusabb kártevők mezőnyéből is kiemelkedett az a szmóker produkció, amely nem tesz kárt a felhasználó gépében, de az Internet Explorer kezdőlapját a marijuana.comra állítja át, és egy zöld levélkét tesz a Windows tálcájára. A kenderlevélre kattintva politikai üzenet jelenik meg a képernyőn, amely a kannabisz legalizációja mellett kampányol. A vírus hatására sokszorosára nőtt a marijuana.com forgalma, az oldal készítői viszont elhatárolódtak az akciótól - ami néhány kenderbarát internetezőt annyira felidegesített, hogy szervertúlterheléses támadást indítottak a fűportál ellen. Az e-mailhez csatolt VB-szkript az Outlook levelezőprogram teljes címlistájára szétküldi a vírust, amely egyúttal trójai programként is működik: egy lövöldözős játékot utánozva Weed Farmer néven terjed a fájlcserélő rendszereken. A valódi, Ganja Farmer nevű játékban (a www.evilx.com/ganjasoft.html címről szabadon letölthető) harcos termesztőként egy 69-es Volkswagen mikrobusz tetejére erősített húsz milliméteres gépágyúval kell megvédeni a palántákat a rendőrségi helikopterekből ugráló kommandósoktól.

Védekezés

A laikus felhasználó gyakorlatilag egyetlen módszerrel védekezhet a vírusjárványok ellen: olyan vírusirtó programmal, amely az interneten keresztül akár naponta képes frissíteni a kártevők listáját. A legtöbb ilyen vírusirtó program képes a merevlemezen tárolt adatok védelmére, az érkező e-mailek fertőtlenítésére és a veszélyes weboldalak ártalmatlanítására is. Megfontolandó továbbá a Microsoft Outlook helyett más levelezőprogram telepítése: ezzel jó néhány kényelmi funkciónak búcsút inthetünk, de ha a VB-szkripteket nem támogató levelezőprogramot választunk helyette, jelentősen csökken a fertőzésveszély.

Rendőrvírus

Az FBI olyan trójai program fejlesztésén dolgozik, amellyel a megfigyelt személy gépét megfertőzve minden begépelt szövegét megszerezhetné. A keylogger technológiát alkalmazó Magic Lantern, azaz varázslámpa kódnévre hallgató szoftver elsősorban a titkosított dokumentumok jelszavainak elfogására használható. Az egyetemeken is tanított eljárást több régebbi hackerszoftver használja, többek között a Windows-rendszereket fertőző Back Orifice és SubSeven is. Az FBI korábban a maffiakapcsolatokkal vádolt ifjabb Nicodemo Scarfo számítógépére telepített keyloggert, ám ezt még nem interneten keresztül célba juttatott trójai program, hanem hús-vér ügynökök telepítették a megfigyelni kívánt számítógépre.

Ágyúval vírusra

Az Egyesült Államok bármilyen rendelkezésére álló eszközzel, így katonailag is válaszolhat, amennyiben más ország vagy terrorista csoport részéről támadás éri az interneten keresztül - hangzott el a szenátus igazságszolgáltatási albizottságának meghallgatásán. Richard Clarke, a Fehér Ház technológiai tanácsadója szerint számos országnak - ilyen Irán, Irak, Észak-Korea, Kína, Oroszország - kiképzett emberei vannak a számítógépes hadviselésre. A terroristák képesek lehetnek behatolni országos létesítmények, energiaellátó rendszerek, atomerőművek, légiforgalom-ellenőrző rendszerek digitális ellenőrzésébe. Clarke nem mondta meg, milyen szintű cybertámadás az, amely amerikai részről már katonai reakciót váltana ki. "Ennek a szándékos lebegtetése az elrettentés része" - fejtette ki. A tanácsadó szerint az Egyesült Államok mostanáig nem kapott rajta sem kormányokat, sem terroristákat internetes hadviselésen, de ez nem jelenti azt, hogy ilyennel még nem is próbálkoztak. A Fehér Ház ebben a pénzügyi évben 2,7 milliárd dollárt költ informatikai biztonságra, ami 2003-ban 4,2 milliárdra emelkedik.

Figyelmébe ajánljuk