MyDoom.O - atakuje internautów i... wyszukiwarki

Producenci oprogramowania antywirusowego ostrzegają internautów przed nową, niezwykle groźną odmianą robaka MyDoom - tym razem oznaczonego literą O (lub M - tak oznaczył go Symantec). Robak gwałtownie rozprzestrzenia się w Sieci, powodując przy tym spowolnienie pracy największych światowych wyszukiwarek - w tym Google oraz Lycos. MyDoom.O jest także groźny dla zwykłych internautów - po zainfekowaniu systemu robak umożliwia nieautoryzowanym użytkownikom przejęcie kontroli nad maszyną.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
Robaka wykryto w poniedziałek wieczorem - MyDoom.O, podobnie jak inne robaki z tej rodziny, rozprzestrzenia się za pośrednictwem poczty elektronicznej. Jest jednak coś, co go zdecydowanie wyróżnia - sposób, w jaki nowy MyDoom zdobywa adresy e-mail, pod które wysyła swoje kopie. Do tej pory robaki zwykle szukały ich na twardym dysku - w książkach adresowych programów pocztowych lub plikach tymczasowych przeglądarek internetowych. MyDoom.O dodatkowo szuka adresów w Internecie - za pośrednictwem wyszukiwarek internetowych. A że komputerów zainfekowanych przez tego robaka jest coraz więcej, to cały czas rośnie liczba 'zapytań', które muszą obsłużyć wyszukiwarki. Dlatego też obserwować możemy zakłócenia pracy największych serwisów wyszukiwawczych.

Wyszukiwarki na celowniku

"Gdy MyDoom.O znajdzie na dysku jakiś adres e-mail to natychmiast wysyła na niego swoją kopię. Ale to nie wszystko - robak sprawdza również za pośrednictwem wyszukiwarki domenę, w której zarejestrowany był ten adres - po to, by znaleźć jeszcze więcej adresów" - tłumaczy Johannes Ullrich, szef SANS Institute Internet Storm Center.
Z pierwszych analiz kodu "insekta" wynika, że korzysta on z wyszukiwarek Google, Yahoo, Lycos oraz AltaVista (w momencie publikacji tego tekstu łączenie z dwiema ostatnimi witrynami trwało znacznie dłużej niż zwykle - Google i Yahoo otwierały się jednak bez większych problemów).

Rzecznik Google potwierdził, że MyDoom.O spowodował spowolnienie pracy wyszukiwarki - zapewnił jednak, że trwało to krótko i firma już poradziła sobie z problemem. W podobnym tonie utrzymana była wypowiedź przedstawiciela Yahoo - rzecznik portalu powiedział, że przez pewien czas użytkownicy mogli zauważyć pewne spowolnienie, ale firmie udało się szybko ograniczyć skutki 'ataku' MyDoom.O.

MyDoom.O jest jednak niebezpieczny nie tylko dla serwisów wyszukiwawczych - po zainfekowaniu komputera robak umożliwia nieautoryzowanym użytkownikom przejęcie kontroli nad maszyną. Komputer taki może zostać wykorzystany np. do przeprowadzania ataków DoS lub rozsyłania spamu (jako tzw. 'zombie PC' - szerzej o tym zjawisku pisaliśmy w tekście "Zombie PC: zmora naszych czasów").

Jest groźny, może być groźniejszy

Lista tematów e-maili, wykorzystywanych przez MyDoom.O:
- say helo to my litl friend

- click me baby, one more time

- hello

- error

- status

- test

- report

- delivery failed

- Message could not be delivered

- Mail System Error - Returned Mail

- Delivery reports about your e-mail

- Returned mail: see transcript for details

- Returned mail: Data format error
Eksperci uważają robaka za stosunkowo groźnego - firma McAfee ocenia powodowane przez niego obecnie zagrożenie jako "średnio wysokie", zaś Symantec przyznał MyDoomwi ocenę 4 (w pięciostopniowej skali). Przedstawiciele obu koncernów nie wykluczają, że wraz ze wzrostem aktywności robaka oceny mogą ulec zmianie.

MyDoom.O pojawia się w komputerze w postaci załącznika do e-maila - robak na kilka sposobó stara się zwieść użytkownika, tak, by ten uruchomił załączony do wiadomości plik. Wiadomość taka zwykle wygląda jak komunikat administratora - może ona zawierać informację o problemach z doręczeniem poczty lub wskazówki, jak... usunąć wirusa. Nowy MyDoom jest też całkiem sprytny - by uniknąć przedwczesnego wykrycia, nie wysyła swoich kopii na adresy e-mail pracowników firm produkujących oprogramowanie antywirusowe oraz firm oferujących konta pocztowe.

"Pomysł wykorzystania wyszukiwarek do znalezienia ofiar nie jest pomysłem nowym - po raz pierwszy jednak został wykorzystany w wirusie na taka skalę. W Polsce na razie obserwujemy niewielka aktywnosć MyDoom.O. Wirus oczywiście może jeszcze zdestabilizowac prace niektorych serwerów, jednak nie powinnien wpłynąć znacząco na ogólny stan bezpieczeństwa sieci i na działanie wyszukiwarek. Niepokojacy jest jednak fakt, że pomimo wielu apeli użytkownicy w dalszym ciągu klikają bez zastanowienia w załączniki." - powiedział nam Piotr Kijewski z CERT Polska.

15 x MyDoom

'O' jest już piętnastą wersją MyDooma, jaka pojawiła się w Sieci od stycznia - eksperci przyznają jednak, że jest też jedną z najbardziej innowacyjnych (głównie za sprawą nietypowego sposobu gromadzenia adresów e-mail). W MyDoom.O poprawiono jednak nie tylko wyszukiwanie adresów e-mailowych - nowy robak sprawniej od swoich poprzedników rozprzestrzenia się w sieciach P2P.

Aby usunąć robaka, należy sprawdzić system przy pomocy uaktualnionego programu antywirusowego i skasować wszystkie wykryte przez aplikację kopie MyDoom.O. Alternatywną metodą jest skorzystanie ze specjalnej 'szczepionki', służącej do usuwania tego konkretnego "insekta" - ich zbiór można znaleźć w naszym serwisie FTP.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.