Červ Zotob - mediální bublina nebo válka červů?

Zotob způsobil přerušení vysílání CNN a hned se stal mediální hvězdou. Co je vlastně zač, je skutečně tak nebezpečný a propukla nová válka červů?
Červ Zotob - mediální bublina nebo válka červů?

Napadení nejen mediálních gigantů

Související odkazy

Slovník
antivirus
červ
firewall
server
virus

Jistě vám neunikla i pro liaky mediálně zajímavá zpráva o tom, že červ Win32/Zotob způsobil přerušení vysílání televizní stanice CNN na 90 minut. Různé rodiny červů poslední dobou řádí a napadeny byly i další společnosti jako Associated Press, New York Times a ABC News a také "průmyslové" společnosti jako jsou Caterpillar, Daimler/Chrysler či General Electric a řada dalších. Celkem téměř 200 významných korporací.

V souvislosti s těmito posledními událostmi jsou zajímavá zejména dvě zjištění. První se týká toho, že červ využívající chybu i v tak relativně starém systému jako jsou Windows 2000, může způsobit takové problémy. To je věc, která možná běžné uživatele překvapí, nicméně není to zase tak nečekané, neboť právě Windows 2000 jsou stále standardem v podnikové sféře. Druhé zajímavé téma, které se v této souvislosti objevilo, je tzv. "válka červů", kdy "havěť" od různých tvůrců požírá své konkurenty. Ani to ovšem není nic nového, tyto války o prestiž už existují dlouho.

Zotob se představuje

Co je tedy přesně červ Zotob zač? Už jsme si řekli, že napadá systémy Windows 2000 a využívá k tomu bezpečnostní chybu v systému Plug and Play. Projevuje se mimo jiné restarty systému. Tato chyba má kritickou úroveň, její popis je uveden v Microsoft Security Bulletin MS05-039 a tam najdete rovněž odkaz na záplaty. Důležité je však vědět, že tato chyba není jen ve verzi Windows 2000, ale nachází se i ve Windows XP (SP1, SP2 i x64) a Windows Server 2003. Červ je vázán na knihovnu umpnpmgr.dll, což je jeho největší slabina, resp. omezení.

Právě kvůli tomu neohrožuje novější systémy Windows, i když tuto chybu obsahují také, ale zřejmě by nebyl problém jej "vylepšit". Novější systémy však mohou sloužit údajně jako "bacilonosiči" tohoto červa. Jim samotným tedy neublíží, nicméně se šíří dále. Kromě záplaty vám může pomoct i dobře nakonfigurovaný firewall, který červa nepropustí. Konkrétně stačí blokovat port 445, přes který se snaží červ proniknout. Je ale klidně možné, že v době, kdy čtete tento článek, se některé mutace (viz dále) budou projevovat mírně odlišně.

Chyba byla ovšem objevena již před uvedením červa a byla zveřejněna příslušná záplata. Teprve poté a za relativně krátkou dobu se pak objevil právě Zotob, který tuto díru zneužívá. První exempláře byly prý objeveny již 4 dny po zveřejnění chyby, resp. záplaty, což je údajně nový rekord. Je to jen další z ukázek toho, jak může být "virový underground" výkonný, když chce, a jaké nebezpečí představuje.

Červ je pozoruhodný ještě z jednoho hlediska a sice rychlostí mutace. V době psaní tohoto článku bylo známo již 11 variant. Mnoho z nich se objevilo ještě předtím, než dozněla "první vlna útoku". Podle antivirových firem je to jeden z nejrychleji mutujících červů.

Červí válka

Posledním tématem, které je momentálně hojně probíráno v souvislosti se Zotobem, je tzv. "válka červů". O vzájemné likvidaci některých červů jste si mohli přečíst ve včerejší krátké zprávě, kde najdete i schéma těchto vazeb od společnosti F-Secure. Ze schématu a informací společnosti vyplývá, že existují dvě skupiny červů, které se navzájem ničí. První skupinu tvoří varianty červa Zotob a dále Rbot, Sdbot a CodBot. Druhou skupinu pak zastupují IRCBot a Bozori. Navzájem se nemají rádi a když jeden nalezne v systému druhého, zlikviduje ho, aby měl nad systémem kontrolu sám. Někteří označují tento boj za "Worm War II", neboť podobná situace takového rozsahu (ojedinělé případy samozřejmě existují již dlouho) zde již byla více než před rokem, kdy se podobným způsobem likvidovaly NetSky a Bagle.

Média přehánějí?

V souvislosti s tímto případem se ale také hovoří o tom, že skutečná hrozba těchto červů není tak velká. Napadení stanice CNN či New York Times zní v médiích jistě efektně, ale podle odborníků nebyla zaznamenána žádná ohromná epidemie a některá média tento případ trochu zveličují. Během epidemie červa Sasser v loňském květnu byl naměřen zvýšený internetový provoz o 20 až 40 procent. Nic podobného se ovšem nyní nekoná. Alespoň zatím.

Diskuze (94) Další článek: Spuštěn blog o Jyxo

Témata článku: Windows, Podobný způsob, Včerejší vlna, ABC News, Válka, Val, Zajímavý případ, Zajímavé téma, Skutečná hrozba, První článek, Daimler, Krátký článek, Krátká doba, Největší slabina, Červ, Podobný systém, Caterpillar, Bublina, Chrysler, Zajímavá zpráva, Underground, Nečekaná situace, New York Times, Druhá varianta, První případ


Určitě si přečtěte

Avast Omni: Krabička, která vám hackne síť a promění se v unikátní antivirus

Avast Omni: Krabička, která vám hackne síť a promění se v unikátní antivirus

** Počítač dnes ochrání kdejaký antivirus ** Drobná krabička Omni se postará rovnou o celou domácí síť ** Bude ji odposlouchávat, analyzovat a blokovat útoky

Jakub Čížek | 119

Jakub Čížek
AntivirusIoT
Vybíráme nejlepší monitory: Od úplně levných až po displeje na rozmazlování očí

Vybíráme nejlepší monitory: Od úplně levných až po displeje na rozmazlování očí

** Vybrali jsme nejlepší monitory na práci i pořádné hraní ** Nejlevnější monitor s kvalitním panelem nestojí ani tři tisíce ** Rozlišení 4K a větší obrazovka už není nedostupný luxus

David Polesný | 31

David Polesný
Monitory
Windows 10 vylepšují správu aktualizací ovladačů hardwarových komponent počítače
Karel Kilián
OvladačeWindows UpdateWindows 10
Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

** Uspořádání kabelů můžete vnímat i jako podivný druh umění ** To nejkrásnější se skrývá v datacentrech a serverovnách ** Podívejte se na skutečné „cableporn“ z optiky i kroucené dvojlinky

Vojtěch Malý | 53

Vojtěch Malý
DatacentraServery
Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

** Notebooky s cenou do deseti tisíc korun jsou plné kompromisů ** Existuje několik modelů dobře použitelných pro nenáročné použití ** Vhodnou alternativou jsou tablety nebo repasované počítače

David Polesný | 94

David Polesný
Jak vybrat notebookNotebooky
Jak se šíří Covid v Česku: Čerstvá data, semafor PES, mapy okresů a obcí. Každý den aktualizované grafy

Jak se šíří Covid v Česku: Čerstvá data, semafor PES, mapy okresů a obcí. Každý den aktualizované grafy

** Vývoj COVID-19 v Česku: nakažení, úmrtí, testovaní, hospitalizovaní ** Mapa podle okresů, přehled podle věku, situace v Evropě i ve světě ** Každý den aktualizované grafy a mapy

Marek Lutonský | 172

Marek Lutonský
COVID-19Koronavirus
Finanční správa tento měsíc spustí Moje Daně. Přiznání má být hračka
Lukáš Václavík
eIdentitaČeskoeGovernment
Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

** Tranzistory současných počítačů vyzařují při přepínání teplo ** Na Tokijské univerzitě proto vyvíjejí adiabatické procesory ** Využívají supravodivost a jsou 80× úspornější

Jakub Čížek | 48

Jakub Čížek
TranzistoryProcesoryTechnologie