Kaikkien aikojen kallein virus Venäjällä |
Tietokonemato W32/MyDoom tunnetaan myös nimillä Shimgapi, Novarg, A@mm (koko 22528). Viruksen nopeaan leviämiseen on kolme pääsyytä. Järjestelmävirheiltä näyttävät virussähköpostiviestit rohkaisevat käyttäjiä avaamaan ne. Mydoom löydettiin Yhdysvaltain valitettavasti juuri kiireisimpään toimistoaikaan, jolloin suuryritysten verkot saastuivat nopeasti. Lisäksi virus on kerännyt aggressiivisesti sähköpostiosoitteita ja osannut myös luoda niitä itse yhdistelemällä yleisiä nimiä löytämiinsä verkkotunnuksiin. Valitettavasti Mydoom-viruksesta leviää verkossa myös uusi, kenties vaarallisempi versio Mydoom.B. Mydoom.B on teknisesti hyvin samankaltainen kuin edeltäjänsä. Se yrittää käynnistää palvelunestohyökkäyksen SCO:n webbipalveluiden lisäksi myös Microsoftin palveluita vastaan. Mydoom.B yrittää estää saastunutta konetta ottamasta yhteyttä esimerkiksi erilaisten virustorjuntayhtiöiden sivuille sekä Microsoft Windowsin update-palveluun. Viruksen blokattavien tietoturvayhtiöiden listalla ovat F-Secure, Sophos, McAfee, Symantec, TrendMicro, Kaspersky Labs ja muita isoja tietoturvataloja. Venäläinen Denis Zenkin, The Kaspersky Lab:n johtaja, kuvaa tilanteen kehittyvän ensin Internet-kirjeenvaihdon määrän huomattavalla lisääntymisellä. Tämä johtaa kommunikaatiota virhetoimintoihin. Ongelmat syntyvät, kun kanavat ylikuormittuvat. Sähköpostit lopettavat toimintansa, kun ne eivät kykene käsittelemään informaation ylikuormittuessa. Venäläisen tietoturvatalo Kaspersky Labsin edustaja Alexander Gostijevin mukaan helmikuun 1. päivän virushyökkäys oli suunniteltu kuukausia etukäteen. “Vähintään tuhat konetta saastutettiin ennen varsinaisen hyökkäyksen alkua”, hän kertoo. Yhtiön mukaan viruksen alkuperämaa on 80 prosentin varmuudella Venäjä; ensimmäiset Mydoom-sähköpostit löytyivät nimenomaan Venäjältä. “Viruskirjoittajat ovat saattaneet rekisteröidä venäläisiä sähköpostiosoitteita ja lähettää ohjelman niiden kautta”, Denis Zenkin toteaa. On tärkeää, ettei sähköpostin vastaanottaja avaa sähköpostia tai sen liitetiedostoa, kun siinä on erikoinen englanninkielinen viesti ASCII formatin tarpeesta. Mato kätkeytyy sähköpostiviesteihin. Mydoom-haittaohjelman lähettämät sähköpostiviestit sisältävät jonkin seuraavista otsikoista: test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status tai Error. Itse sähköpostiteksti voi sisältää erilaisia englanninkielisiä viestejä. Esimerkiksi pelkästään sanan test. Tai siinä voi olla lause: The message cannot be represented in 7-bit ASCII encoding and has been sent as binary attachment. Saastuttava posti voi sisältää myös lauseen: The message contains Unicode characters and has been sent as a binary attachment. Myös viestinä voi olla: Mail transaction failed. Partial message is available. Virus leviää myös KaZaA:n kautta. Kun virus on saapunut järjestelmään, se aktivoi “Notepad” ohjelman ja käyttää mielivaltaisia symboleja. Virus installoi erityisen moduulin järjestelmään, jotta pahantekijä voi lähettää spam-postia muiden virusten kanssa. Haittaohjelma avaa saastuneeseen tietojärjestelmään takaportin avaamalla peräkkäin TCP-portit 3127-3198. Toimintoa hyväksikäyttämällä hyökkääjä voi suorittaa kohdetietojärjestelmässä omia komentojaan. Saastuttaessaan kohdetietojärjestelmän Mydoom kopioi Windows System hakemistoon uuden SHIMGAPI.DLL-tiedoston ja käynnistää sen aliprosessiksi EXPLORER.EXE-prosessille. Sähköpostiviestin päätteeltään muotoa ZIP, BAT, CMD, EXE, PIF tai SCR. Mato leviää osoitteisiin, joita löytyy .htm-, .sht-, .php-, .asp-, .tbb-, .adb-, .pl-, .wab- ja .txt-päätteisistä tiedostoista. Se ei leviä .edu-päätteisiin osoitteisiin. Kun yhden virusviestin on onnistunut torjumaan, uusi viesti voi saapua pian toisesta lähettäjäosoitteesta. Esimerkiksi F-Securen kotisivulta voi ladata helposti ohjelman, joka puhdistaa saastuneen koneen. Symantecin uusissa tietoturvatuotteissa on myös toimintoja, jotka automaattisesti havaitsevat ja estävät matojen leviämiseen. Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustorjuntatietokannan ajantasaisuudesta. Suomessa Viestintävirasto tiedotteessaan 27.1.2004 neuvoo, että sähköpostin liitetiedostoja ei pidä avata ilman virustarkastusta. Internetin käyttäjä pitää tuhota välittömästi Mydoom-haittaohjelman sisältämät sähköpostiviestit. Tietokoneen käyttäjän pitäisi välttää vertaisverkko-ohjelmistojen käyttöä ja suhtautua niiden kautta haettuihin tiedostoihin suurella varauksella. Helmikuun 1 päivästä alkaen Novarg-mato hyökkäsi amerikkalaista SCO yhtiötä vastaan, joka on yksi UNIX:n copyrightin omistajista. SCO:n webbisiusto kaatui. SCO oli julkisesti ilmoittanut haastavansa oikeuteen yritykset, jotka käyttävät Linuxia. SCO Group on pyrkinyt FBI:n kanssa tavoittamaan uuden viruksen tekijän. Sekä SCO että Microsoft ovat luvanneet 250 000 dollarin palkkion tiedosta, joka johtaa viruksen tekijän pidätykseen. Brittiläisen tietoturvayhtiö mi2g:n mukaan Mydoom voi tulla kalliimmaksi kuin Sobig, joka aiheutti vuonna 2003 noin 37 miljardin dollarin kustannukset ollen näin kaikkien aikojen kallein virus. Juha Molari |
MyDoom A- virus oli saastuttanut maailmassa jo helmikuun ensimmäiseen viikkoon mennessä yli 500 000 konetta, mutta yksistään 300 000 saastuneista oli Venäjällä. Noin 10 %
tietokoneista on saastunut Ukrainassa. Venäjällä internetin parissa työskentelevä henkilö voi tuskin välttyä Novarg-madon saastuttamalta sähköpostiviestiltä. ”The Kaspersky Lab” (NewsRu 1.29.2004) otaksuu, että Novarg-mato on
nimenomaisesti luotu saastuttamaan Venäjällä tietokoneita: lähtömaa on Venäjä. Historian pahin sähköpostivirus Mydoom on rikollisten aikaansaannosta. Virus avaa saastuneisiin koneisiin takaportin, jonka avulla koneita käytetään
roskapostin välittämiseen vuosia. Saastuneet koneet ovat alttiita kaikenlaiselle hyväksikäytölle aina viruksista ja troijalaisista massapostitusohjelmiin asti.