Ukrán államtitkokat szórt szét a féregvírus

A for-ua.com domain alatt működő Forum híroldal csütörtökön bejelentette, hogy a Sircam vírus, amely megfertőzte az elnöki titkárság számítógépeit, fertőzött dokumentumokkal bombázza a szerkesztőséget. Az érintett államhivatal képviselői nem voltak hajlandók kommentálni az eseményeket, illetve feltételezésekbe bocsátkozni a biztonsági rendszerek áttöréséről és az esetleges fertőzésről.

A Forum erre válaszul megjelentette az elnöki határidőnapló egyik oldalát, melyen az ország függetlenné válásának tiszteletére tartott, Kucsma elnök által a hónap folyamán meglátogatandó rendezvényeket tüntették fel. Az ukrán elnök pontos időbeosztása és mozgása államtitoknak számít, hogy megakadályozzák a lehetséges merényleteket.

Az Index szerkesztőségébe naponta több száz Sircammal fertőzött levél érkezik

A Sircam-járvány kitörése utáni napokban a féregvírus az amerikai FBI nyomozóhivatal titkos irataiból is megszellőztetett néhányat - számolt be a ZDnet. Az egyik FBI-ügynök a kódot vizsgálgatva eltévesztett valamit, a féregvírussal érkezett program lefutott, és a virtuális kártevő betelepedett a gépre.

A rövid közjáték alatt a vírusnak összesen nyolc olyan dokumentumot sikerült elküldenie, melyeket "csak belső használatra" szántak. A hivatal ezzel a jelzővel illeti azokat a dokumentumokat, melyek nem esnek a Freedom of Information Acts törvény hatálya alá, és nincs tervben a nyilvánosságra hozataluk.

Az FBI egyik szóvivője, Deb Weierman kijelentette, hogy a július 21-én bekövetkezett adatvesztés nem érintett titkos, vagy folyó vizsgálatok szempontjából fontos anyagokat. Ennek ellenére a baleset azért volt kellemetlen, mert éppen a Cyber-Protection részleg hatékonyságát bemutató szenátusi meghallgatás előestéjén történt. A részleg rendszerint dicséretet kap a munkájáért, és a beszámolók szerint az elmúlt év folyamán sokat javult a hatékonysága.

Az Index szerkesztőségébe naponta több száz Sircammal fertőzött levél érkezik

A dokumentumokat postázó féregvírus aktivitása Magyarországon az utóbbi napokban csökkenni látszik, de az Index szerkesztőségébe így is naponta több száz Sircammal fertőzött levél érkezik. Az címlapügyelet email címére (ugyelet@mail.index.hu) hétfő reggel és péntek délután között a Szigetről küldött képriportokkal együtt 15 megabájtnyi hasznos levél érkezett. Emellé még befutott 209 megabájtnyi, a legkülönbözőbb címekről, véletlenszerűen postázott dokumentum is.

Kötegelve dobáljuk ki itt az Indexnél a néhány kilobájtostól 1-2 megabájtig terjedő méretskálában érkező Word dokumentumokat, Excel és ZIP fájlokat. Akinek eddig írtunk a fertőzöttsége (és a levélbombázás miatt munkánk lassítása) ügyében, eddig a legritkább esetben reagált. Talán attól tartottak, hogy beugratás a levelünk, vagy pont ebben van a vírus.

Volt eset, hogy kénytelenek voltunk telefonon szólni az érintettnek, mert 10 perc leforgása alatt 50 példányban jött át tőle ugyanaz a 300 kilobájtos levél. Rádió szerkesztőségét és vidéki kisvállalkozás ügyvezetőjét egyaránt sikerült megijesztenünk. Aki hitetlenkedett, elég volt neki felsorolni a levelek tárgy sorát, azonnal ráismert a saját elmentett fájljaira.

Tapasztalataink szerint a nagy sávszélességű kapcsolattal rendelkező gépekről (például a broadband.hu domain alóli címekről) indul a legtöbb fertőzött levél. Aki modemes csatlakozást használ, inkább feltűnik neki, hogy a darabonként legalább 200 kilobájtos levelek küldése alatt használhatatlan a gépe, mert leáll minden.

A vírusirtók kezdetben bizonytalankodtak

Kezdetben gondban voltak a vírusirtók, mert hiába volt ismert július 18-óta a Sircam, a programok a legkülönbözőbb hibák miatt képtelenek voltak elcsípni a levelezésbe befutó fertőzött dokumentumokat. Állítólag a féregvírus levélküldésre használt saját levelezőszervere rossz fejléccel csatolja az állományt, és a vírusirtók ezért tévesztettek. A levelezőprogramok a jelek szerint nagyobb hibatűréssel dolgoznak.

A segítség így sem maradt el, szinte minden nagy vírusirtó cég összedobott gyorsan egy csak a Sircam eltávolítására szánt készletet. A kézi eltávolítás sem ördöngösség, de ha rossz ütemben törlünk bele a rendszer részévé vált állományba, semmilyen programot nem fogunk tudni elindítani.

Mexikói lehet a vírus szerzője

Időközben szinte bizonyossá vált, honnan származik a féregvírus. A kódban rábukkantak egy sorra, amely egy mexikói programozóra utalhat - mondta el a német Der Spiegelnek Eric Chien, a Symantec európai víruslaboratóriumának vezetője. A vírusban a szerző rejthette el a következő alaírást: [SirCam Version 1.0 Copyright 2001 2rP Made in/ Hecho en - Cuitzeo, Michoacan Mexico] Természetesen nem lehet teljes bizonyossággal kijelenteni, hogy a vírus valóban a mexikói Cuitzeo városkából származik.

Ezt a teoriát erősíti azonban a Wired szakírói szerint, hogy a vírus spanyol változatában a beugrató üzenet minden sorát hibátlanul fogalmazták, miközben az angol mondatok nyelvtani bakikat tartalmaznak. Talán ennek köszönhető, hogy a féregvírus angol nyelvterületen nem terjedt el még gyorsabban.