Praha – 7.4.2004 - Společnost TREND MICRO zaznamenala v březnu neuvěřitelných 1200 nebezpečných kódů (ve srovnání s 925 v únoru, 550 v lednu a 400 v prosinci 2003).Tři hlavní typy hrozeb, jež jsme odhalili v tomto měsíci, byly trojské koně, zadní vrátka a počítačové červy. Červy ovšem představovaly drtivou většinu, asi 90 procent všech nebezpečných kódů.

Rekordní počet upozornění na viry

V tomto měsíci vydala společnost TREND MICRO rekordních šest „žlutých“ varování. – tato skutečnost potvrzuje převahu počítačových červů. Tato varování se týkají červů WORM_NETSKY.Q, WORM_BAGLE.U, WORM_NETSKY.P, PE_BAGLE.Q, PE_BAGLE.P, WORM_NETSKY.D. Dva z těchto červů najdete v pětici nejčastěji se vyskytujících v posledním měsíci.

Všechny výše uvedené počítačové červy používají stejnou metodu šíření – napadají cílový počítač prostřednictvím e-mailu, což jen potvrzuje, jak velký význam mají antivirové ochrany na internerových branách nebo úrovni e-mailových serverů.

Rodiny červů Netsky a Bagle posilují své možnosti šíření například i tím, že vypouští ze seznamu svých cílových adres názvy obsahující jména antivirových firem nebo produktů. Chtějí tím zabránit svému rychlému odhalení: abuse, antivi, aspersky, avp, cafee, fbi, f-pro, f-secur, Icrosoft, itdefender, messagelabs, orman, orton, skynet, spam, ymantec, icrosoft, info@, kasp, linux, listserv, local, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support ...

Všechny počítačové červy zneužívají známých děr v softwaru a tím, že oklamou uživatele, využívají částečně i sociálního engineeringu. Provádí to těmito nejčastějšími triky:

·        Přílohy se zobrazí v e-mailovém klientovi jako ikona důvěrné aplikace, například Microsoft Wordu. Uživatel pak nemá obavy na ikonu kliknout.

·        Používá se také technik dvojité přípony. Například: soubor něco.txt.exe se zobrazí s jednoduchou příponou .txt. Uživatel je tak přesvědčen, že se jedná o běžný textový soubor a klikne na něj. Uvnitř je ovšem skryt nebezpečný spustitelný kód typu exe.

·        V celém e-mailu (tedy jednotlivé povinné části jako Tělo e-mailu, Předmět zprávy, Adresát nebo Odesílatel) se mohou využívat metody sociálního engineeringu a oklamaného uživatele navést na spuštění přílohy. Dále uvádíme několik příkladů, jak může vypadat typický nebezpečný kód schovaný v e-mailové zprávě:

1.

Od:

john@earth.com

Pro:

user@domain.com

Předmět:

Deliver Mail user@domain.com

Tělo zprávy:

Translated message has been attached.

------------- failed message -------------

pfds)ç_fy"rfivsnvv=çjsà)fè_hy)s

rezfgert2TYTY387OIIK?JH.%.313P14°

ods,fv@^\`{#[ggHHtyj`^@^[5

Mail Delivery Error - This mail contains unicode characters

Příloha může obsahovat:

message.zip

2.

Od:

administration@earth.com

Pro:

user@domain.com

Předmět:

E-mail account security warning.

Tělo zprávy:

Dear user, the management of domain.com mailing system wants to let you know that,

Our antivirus software has detected a large amount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.

Here is the file.

Please, read the attach for further details.

Kind regards,

The domain.com team http://www.domain.com

Attached file is protected with the password for security reasons. Password is 123456

Příloha může obsahovat:

details.zip

Takových e-mailů může červ vytvořit desetitisíce a jejich schopnost dále se šířit se odvíjí jen od uživatelovy intervence (úkonu, který provede s přílohou). Počítačové červy šly dokonce tak daleko (částečně rodina Bagle), že přílohu připojuje ve formě archívu ochráněného heslem, jenž uživatel najde v těle samotné zprávy. Jeho důvěra v takový e-mail je pochopitelně daleko větší. Tento příklad ukazuje na možnosti uživatele učit a vzdělávat, aby mohli sami předcházet šíření podobných červů. Události posledního období jednoznačně ukazují na problém potřeby bleskové instalace bezpečnostních záplat. Jelikož stále více virů zneužívá děr v operačních systémech a aplikacích, včasná distribuce bezpečnostních záplat hraje velice kritickou úlohu. 

Jedna varianta viru Bagle je schopna zastavit činnost antivirového řešení nebo jinou osobní bezpečnostní ochranu počítače, současně otevírá „brány“ pro další útoky, které jsou stále častěji využívány červy z více rodin současně, tedy i Bagle i Netsky.

Počítačové červy jsou schopny šířit své kopie prostřednictvím sítí P2P a přes sdílené adresáře na discích. A opět si uvedeme příklady rozvíjejícího se sociálního engineeringu. Kopie červů využívají totiž jmen jako Matrix 3 Revolution English Subtitles.exe, WinAmp 6 New!.exe, Arnold Schwarzenegger.jpg.exe, Harry Potter game.exe, Windows XP crack.exe, atd. atd.

Válka virů

Možná válka mezi tvůrci virů Netsky a Bagle byla hlavním tématem objevujícím se  v médiích. Každopádně musíme konstatovat tyto skutečnosti:

• Za prvé: za krátké období se objevilo obrovské množství variant Netsky a Bagle.
• Jakmile se objeví nová varianta Netsky, okamžitě se objeví verze Bagle.
• Většina variant Bagle zablokuje činnost variant Netsky, současně Netsky zablokuje ostatní nebezpečné kódy jako MyDoom, Nachi, předchozí verze Netsky a předchozí varianty Bagle.

Nasazení holistických metod bezpečnosti

Počítačové červy, které byly v centrum zájmu tento měsíc, demonstrovaly, jak důležité je z hlediska podnikové bezpečnosti zaměřit se na holistické metody, nikoliv jen antivirová řešení. Podnikové sítě by měly být zabezpečeny proti aktuálním hrozbám takto:

• Použít jednoduchá pravidla pro blokování příloh.
• Uživatelům připravit osvětovou kampaň.
• Zajistit poslední verze záplat pro operační systémy a aplikace.
• Změnit procesy zajišťující bezpečnost.
• Nainstalovat poslední verze antivirových řešení a hardwaru nutného pro zablokování těchto hrozeb.

Laboratoře TrendLabs EMEA sledují podezřelé aktivity nebo dopady působení virů v oblasti Evropy, blízkého východu a Afriky, 24 hodin a 7 dní v týdnu. Svým zákazníkům poskytují vysokou úroveň ochrany a služeb.

O společnosti TREND MICRO

Společnost TREND MICRO je přední  světovou firmou v oblasti síťových antivirových řešení, softwaru a služeb pro zabezpečení internetového obsahu. Firma sídlí v Tokiu, své evropské ústředí má v Marlow v Anglii a obchodní zastoupení po celém světě. Produkty TREND MICRO jsou nabízeny prostřednictvím distribuční sítě dealerů poskytujících služby s přidanou hodnotou a sítě poskytovatelů řízených služeb. Další informace ohledně společnosti TREND MICRO a zkušební verze produktů lze nalézt na adrese: http://www.trendmicro-europe.com

Trend Micro, logo t-ball, Control Manager, GateLock a OfficeScan  jsou obchodní známky a registrované obchodní známky společnosti Trend Micro Incorporated.  NetScreen a NetScreen logo jsou ve Spojených Státech a dalších zemích obchodní známky společnosti NetScreen Technologies, Inc.  Všechna ostatní jména společností a produktů mohou být obchodními známkami a registrovanými obchodními známkami příslušných vlastníků.