Kada se 26. januara pojavio, novi virus je izgledao sasvim uobičajeno – potvrđeno je da je reč o e-mail crvu, ubrzo je analiziran, dobio je ime MyDoom („moja propast“) ili Novarg, i za nekoliko sati je uključen u dnevne AV definicije. Nakon par sati od prijema uzorka pokazalo se da nešto nije u redu; uzorci su stizali sa svih kontinenata u neuobičajenim količinama – epidemija se vrtoglavo širila i već sledećeg dana svaka dvanaesta e-mail poruka na planeti bila je zaražena! Za jedan dan oboriti rekord prethodnog parazita (SoBig.F) veliki je „uspeh“, pa je počelo traganje za tajnom formulom.
Ujedinjeni trikovi
Pokazalo se da MyDoom sadrži sve „inovacije“ koje su doneli virusi iz prethodnih godina. Širio se uz pomoć e-mail poruka „ubeđujući“ korisnika da klikne na prikačeni fajl, što svi noviji e-mail klijenati odavno prepoznaju kao opasnu situaciju i na to nas jasno upozoravaju. Prvi trik koji je virus upotrebio je netehničke prirode – tekst zaraženog e-mail-a podseća na standardne poruke e-mail servera koje se generišu pri neuspešnoj isporuci poruke. To je ponekad samo par redova poput Mail transaction failed, Partial message is available ili The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. Sa kratkim proizvoljnim subject-om poput Server Report, Mail Transaction Failed i sličnim, virus će vas zapravo „hipnotisati“ i većina korisnika će po inerciji kliknuti na fajl kako bi proverio poruku koja „nije otišla“. Uspehu na polju socijalnog inženjeringa doprinosi i činjenica da se virus često nalazi zapakovan unutar ZIP arhive, što nije trik koji smo često viđali.
Onog trenutka kada se nepažnjom aktivira, virus se kopira u Kazaa download folder (ako takav postoji) pod imenima winamp5, icq2004-final i drugim, sa EXE ekstenzijom. Telo virusa se smešta u %SYSTEM% folder pod nazivom TASKMON.EXE (oko 22 KB) dok je prateći fajl SHIMGAPI.DLL. To je backdoor rutina, tačnije proxy server koji se aktivira na proizvoljnom portu u opsegu 3127-3198. Fajl TASKMON.EXE je neophodan deo Windows-a, ali se originalno nalazi u C:WINDOWS (tj. C:WINNT) folderu, pa ga nemojte obrisati u panici! Virus kreira i nekoliko Run ključeva u registry bazi. Sledeći zadatak je analiza fajlova sa ekstenzijama .htm, .wab, .asp i drugim u potrazi za e-mail adresama.
Virus poseduje listu domena i sistemskih user-a na koje se neće isporučiti (ako ih slučajno pronađe prilikom pretraživanja), pa tako „otpadaju“ nazivi root, admin, site, linux, norton, avp i drugi. S druge strane, favorizovan je spisak od par desetina najčešćih engleskih imena poput John, Alice, Jim, Smith, pa će virus pokušati da se isporuči na sve moguće kombinacije sa pronađenim domenima, kreirajući po random principu adrese za koje se samo pretpostavlja da postoje. Iz nepoznatog razloga, virus je programiran tako da prestane da se širi 12. februara, ali i da 1. februara izvrši masovni Distributed Denial of Service (DDoS) na sajt www.sco.com . Instalirani proxy server će ostati aktiviran i posle ovog datuma, pa sistem svakako treba detaljno očistiti od svih „repova“.
Nekoliko dana nakon pojave originalnog virusa, planetom je počela da se širi usavršena varijanta B koja napada Microsoft-ov sajt i menja fajl hosts koji se nalazi u folderu system32driversetc, sprečavajući pri tom mnoge antivirusne programe da se automatski update-uju, ali i korisnike da pristupe istim Web stranama. Dve kompanije pojava ove napasti je ujedinila u nameri da uhvate krivca i ubrzo je ponuđena nagrada od po 250 hiljada dolara od strane i Microsoft-a i SCO za informaciju koja bi odvela do virusopisca.
Sok sa ukusom propasti
Jedan od najboljih načina da dokažete da je neko napisao računarski virus jeste da na njegovom hard disku pronađete sors kod virusa. Svestan ove činjenice, kao i toga da mu je policija na tragu, ista osoba je 9. februara na Internet „ubacila“ treći virus nazvan Doomjuice. Za razliku od prethodnika, u pitanju je NetWorm, tj. crv koji se širi isključivo kroz nezaštićene portove računara priključenog na Internet i nema veze sa e-mail-om. Za razliku od blastera, koji je za širenje koristio standardni RPC port i bag u softveru koji mu je omogućavao da se „probije“ u Windows, Doomjuice koristi otvorene portove računara već zaraženih MyDoom-om.
Skenirajući susedne IP adrese, svaki odgovor na portu 3127 predstavljaće sledeću destinaciju parazita veličine 66 KB. Poput već viđenih mrežnih crva i tehnički potpuno običan, virus ima samo dva zadatka: da napadne Microsoft-ov sajt i da na odredište „istovari“ originalni sors kod MyDoom-a! Ako vam je računar ostao inficiran sve do datuma pojave Doomjuice-a, pogledajte u %WINDOWS%, %TEMP% i %SYSTEM% foldere i ako primetite fajl naziva SYNC-SRC-1.00.TBZ i dužine 28.569 bajtova, znajte da ste jedan od par desetina hiljada korisnika na koje se možda može posumnjati da su tvorci virusa.
Šteta nastala dejstvom virusa već se procenjuje na stotine miliona dolara i preko 500.000 zaraženih računara. Praktično paralelno sa Doomjuice virusom pojavilo se desetak crva koji koriste MyDoom backdoor kako bi se instalirali i aktivirali, a trenutno su najaktivniji Nachi.B, dve verzije Doomhunter-a i Deadhat-a.
Sve varijante virusa se lako čiste vakcinama koje možete besplatno preuzeti sa sajta bilo kog većeg proizvođača AV softvera, a prava je prilika da prekontrolišete i konfiguraciju firewall-a.
|