A vírusírók célja, hogy minél több fertőzött számítógépből álló hálózatot vonjanak az irányításuk alá. A világ számos nagy szervezeténél riadókészültséget rendeltek el a napokban megjelent három féregcsalád – a Zotob, a Bozori és az IRCbot – újabb és újabb variánsai miatt.
Csapás és ellencsapás?
Augusztus 9-én, kedden adta ki a Microsoft a Windows legújabb biztonsági frissítéseit. Ez a csomag számos kritikus javítást tartalmazott: egyikük a Microsoft Plug-and-Play szolgáltatás sebezhetőségét szüntette meg (MS05-039).
Augusztus 10-én, szerdán egy orosz nemzetiségű, Houseofdabus néven ismert személy olyan kódot adott ki, amely a Plug-and-Play sebezhetőségre építve képes a nem frissített Windows 2000 operációs rendszert használó számítógépek feletti irányítás átvételére.
Augusztus 14-én, szombaton észlelték a Zotob férget. Egy ismeretlen személy vagy társaság a Houseofdabus által készített kódot beépítette a féregbe, ami így már automatikusan terjed az interneten. A mostani eset kísértetiesen hasonlít a 2004 májusában történtekre, amikor Sven Jaschen vírusíró a LSASS sebezhetőséget kihasználó Houseofdabus-kódot építette be az azóta elhíresült Sasser féregbe.
Augusztus 17-ig, szerdáig az F-Secure kilenc olyan rosszindulatú kódot észlelt, amely ugyanazt a kódot használja a terjedéshez, többek között IRCbot, Zotob és Bozori variánsokat.
E férgek folyamatosan fertőzik azokat a Windows 2000 számítógépeket, amelyekre nem töltötték le a frissítést, a javítás telepítése óta nem indítottak újra, vagy nem védi őket tűzfal. A fertőzésekről folyamatosan futnak be jelentések a nagy szervezetektől, elsősorban az Egyesült Államokból. Ezekben a szervezetekben a fertőzés nagy valószínűséggel olyan fertőzött laptopokról ered, amelyeket bevittek a szervezet tűzfala mögé.
Az új Plug-and-Play férgek csak azokat a Windows 2000 operációs rendszert használó számítógépeket fertőzik meg, amelyeket nem véd tűzfal. E féreg a terjedéshez a számítógépek 445/TCP portját vizsgálja, és megfelelő védelem híján a sebezhetőséget kihasználó kód segítségével FTP protokollon keresztül letölti a fő vírusfájlt. Ezután telepít egy FTP szervert a fertőzött számítógépre, majd további célpontokat keres a terjedéshez.
A szakértő véleménye
„Úgy tűnik, hogy botháborúval állunk szemben. Nyilvánvalóan három vírusíró bandáról van szó, akik riasztó sebességgel jelentetik meg az új vírusokat – mintha azért versengenének, hogy ki birtokolja a fertőzött számítógépekből álló legnagyobb hálózatot. A Bozori legújabb variánsai még el is távolítják a konkurens Zotob vírusokat a számítógépekről” – jegyezte meg a történtek kapcsán Mikko Hyppönen, az F-Secure Corporation anti-vírus kutatási igazgatója.