Mi a különbség?A worm, vagyis a féreg terjedése a vírussal ellentétben nem kívánja meg a számítógépes felhasználó “asszisztálását”, mint például egy e-mailes csatolt fájl megnyitását.
Az amerikai kormány felhívta a világ összes netezőjét, hogy védekezzen a Code Red néven ismertté vált worm ellen. (A név eredetileg egy emelt koffeintartalmú energiaitalé; az eEye biztonsági cég szakemberei ezzel próbálták ébren tartani magukat a féreg hosszadalmas “boncolásakor”.) Ronald Dick, az FBI Nemzeti Infrastruktúra Védelmi Központjának (NIPC) vezetője szerint a Code Red terjedése magát az internetet veszélyezteti, hiszen gyorsabban terjed az eddig ismertté vált valamennyi vírusnál. A vírust ráadásul ma, augusztus elsején ismét aktiválták, így folytathatja hihetetlenül gyors terjeszkedését.
Veszélyben a szerverek
A Code Red azokat a Microsoft IIS-eket (Internet Information Server) támadja meg, amelyekre nincs felinstallálva az egyébként ingyenesen letölthető biztonsági patch. Tekintettel arra, hogy csak a szerverek érintettek, az otthoni felhasználóknak nem kell tartaniuk a wormtól. Azok a gépek, melyeken Windows 95, 98 és a Windows Me különböző verziói futnak, nem tartoznak a Code Red látóköréhez, csakúgy, mint azok a gépek, melyekre nem Microsoft operációs rendszert telepítettek.
A worm – miután megtalálta a számítógépen a biztonsági rést – a szerveren elérhető oldalak letöltését akadályozza meg (Denial of Service, DoS) – mondta a FigyelőNet kérdésére dr. Kőrös Zsolt, a tavaly csaknem 200 millió dolláros árbevételt realizáló biztonsági óriás, az ISS szoftvereit és know-how-ját Magyarországon kínáló Noreg Kft. ügyvezető igazgatója. A megfertőzött gép elkezdi szkennelni a sérülékeny IIS-szervereket, majd véletlenszerűen kiválaszt egy IP-címet, amire átmásolja magát. Az így generált többletforgalom lassítja a hálózatokat, végül pedig lebénul a rendszer.
Éjfélkor újra támadJúlius 19-én röpke kilenc óra leforgása alatt csaknem 300 ezer számítógépet fertőzött meg a Code Red. A szakértők most attól tartanak, hogy július 31-én greenwichi idő szerint éjfélkor újra támad a rettegett féreg. Az új hónap tiszteletére egy mutáns verzió kezdi meg áldozatai keresését a csaknem négymilliárdnyi IP-cím közül.
Száguldás után alszik
Kőrös Zsolt szerint a féreg azért tekintendő kiemelten veszélyesnek, mert korábban nem tapasztalt gyorsasággal és könnyedséggel fertőzi meg a szervereket. A internet összeomlásától viszont nem tart a biztonsági szakértő, hiszen a rendszergazdák a legtöbb esetben felkészültek a Code Red fogadására.
A terjedési fázist követően lepihen a “fáradt féreg”: végtelen álomba merül. Egy hacker viszont, akinek birtokában van az eredeti worm, bármelyik hónap elseje és huszadika között újra aktiválhatja a Code Redet.
Made in China?Annak ellenére, hogy a fertőzött gépek képernyőjén néhány órára megjelenik a “Hacked by Chinese” felirat, az állást foglaló biztonsági szakértők úgy vélik, a Code Red elkészítése nem a kínai hackerek leleményességét dícséri. Ennek ellenére nem kizárható, hogy az amerikai-kínai kiberháború egy újabb fejezetét jelzi a Code Red.
Könnyen védekezhetünk
A féreg valamennyi ismertté vált verziója csupán a szerver memóriájába fészkeli be magát, a rendszerfájlokba nem épül be. Éppen ezért a Code Red webszerverről történő kiirtása sem számít túl bonyolult feladatnak: egyszerűen csak újra kell indítani a számítógépet. Ha ezek után a rendszergazda feltelepíti a számítógépre a Windows NT, illetve Windows 2000 biztonsági patchet, a féreg már nem “mászhat” vissza a szerver memóriájába: a rendszer védett lesz.
A Code Red nem az első vírus, illetve féreg, amely lázba hozta a világ közvéleményét. A közelmúltban megjelent Sircam a Microsoft Outlook Express segítségével küldte el fűnek-fának a winchesteren tárolt személyes dokumentumokat. Az ugyancsak legendássá vált I love you és a Melissa egyaránt jelezték: veszély leselkedik az üzleti és az egyéni felhasználókra.
