Miklós
-7 °C
4 °C

Bármikor megérkezhet a szuperféreg

2004.04.21. 13:45
Windows és Linux számára egyaránt veszélyt jelenthet az eszközökkel és információkkal alaposan felszerelt Phatbot vírusíró készlet. Unatkozó kezdők grafikus felületen állíthatják össze a saját vírusukat.
Antivírus-szakértők újabb fertőzési hullámtól tartanak. Az ismeretlenek által korábban forráskódjával együtt nyilvánosságra hozott Phatbot szuperféreg a jelek szerint készen áll az átfogó támadásra.

A szakértők szerint a Phatbotba egy sor károkozó funkciót belezsúfoltak. A forráskód kiadása az interneten az elektronikus kártevőt a 'Script Kiddies' (szkriptes suttyók) játékszerévé avatta.

Kezelőfelület

Mivel a Phatbot mellé grafikus konfigurációs eszköz is mellékelt az ismeretlen szerző, az unalmukban vírust barkácsoló kezdők is hamar elkészíthetik a szívüknek tetsző változatot.

Phatbot ezzel az Agobot féregvírus nyomába lép. Az utóbbi kártevőnek a vírusirtó cégek eltérően összegző statisztikái szerint már 221-675 különböző alfaja létezik, emlékeztet a Der Standard.

A Phatbot képességeinek listája ezzel közel sem teljes. A szuperféreg korábbról ismert biztonsági réseket, és más féregvírusok által nyitott hátsó ajtókat kihasználva fertőzi meg a számítógépeket.

Online tájékozódik

A féregvírus semmit sem bíz a véletlenre, és még a Optix Pro trójaikészítő eszközt is beveti a rések utáni kutatásban. A támadók a féregvírus segítségével hozzáférnek a megfertőzött gépekhez, és ármányos célokra használhatják az erőforrásaikat.

Ezen kívül a Phatbot felkészült arra, hogy a jövőben felfedezett biztonsági résekről online értesüljön, és ezek kihasználásához alkalmazásokat telepítsen, vélik az antivírus-szakértők.

Megpatkolja a rendszert

Különösen kritikusnak számít azonban az a tény, hogy a Phatbot a működése eltitkolására egyesítette a rendszert megpatkoló rootkit programcsomagot a Windows 'Process Hide' funkciójával.

A vírusvédelmi szakértők arra számítanak, hogy hamarosan Linuxra is elkészülnek a megfelelő rootkitek. A Phatbotot eredetileg C++-ban írták, és kompatibilis a POSIX (Portable Operating System Inteface for UNIX) szabvánnyal. Ezzel a Phatbot nem csak a Windows, de a Linux/Unix világ számára is fenyegetést jelent.

Lecsapja a debuggert

De a Phatbot képességei még ezzel sem merültek ki. Képes a népszerű számítógépes játékok CD-kulcsait visszafejteni, illetve IRC-hálózaton saját botokat futtatni. A megfertőzött gépeket uraló vírusok mini hálózatokba tömörülnek, és SSL-titkosítás alatt cserélik ki az értesüléseiket.

VMWare (32 bites virtuális számítógép emuláció) észlelése esetén a Phatbot módosítja a működését, hogy megnehezítse az antivíruscégek munkáját. Ugyanígy egy sor visszafejtő (debugger) programot egyszerűen leállít.

Csak megigazítva működik

Szakértők megítélése szerint a nyilvánosságra került forráskód valószínűleg nem az eredeti változat. Néhány változtatás elejét veszi a módosítások és finombeállítások nélküli azonnali használatnak.

A féregvírus élesítése azonban a találékony vírusbarkácsolók számára bizonyosan nem lesz probléma. Bár a legfrissebb vírusirtók képesek felfedezni a Phatbotba integrált Agobot részleteket, nem jelent nehézséget tetszőleges számú eltérő változatot készíteni, amelyek már átmennek a vírusirtó alkalmazások szűrőjén.