Vírus a gyerekpornó ellen

Nehéz azt mondani, hogy a "Noped" nevet viselő féregvírus nem végez értékes, de illegális szociális munkát - jelentette ki a Wirednek Andrew Antipass, a brit TechServ biztonsági cég munkatársa. Ennek ellenére a szakértő nincs meggyőződve arról, hogy a féregvírus valóban megbízható módon képes azonosítani a tiltott pornográfiát, és a téves riasztások között nem fognak elveszni a valódi esetek.

A Noped célja, hogy nyílt pornográfiát tartalmazó képeket derítsen fel. Olyan fájlok ezek, amelyeket bizonyos weboldalakon és hírcsoportokban meg lehet szerezni. De ha valaki van annyira balfácán, hogy a saját fájljainak pont a körözött neveket adja, a vírus simán fel fogja jelenteni gyermekpornográfia terjesztése miatt.

Ez nem egy túlságosan fejlett féregvírus, de jobb azért, mint a legtöbb ilyen kreatúra. A fájlnevek ellenőrzése egyszerűnek tűnik, de éppen ez az egyszerűség az egyik hibája - jelentette ki Antipass.

A biztonsági kérdésekkel foglalkozó Vigilinx közleményben tudatta, hogy még nem ismertek a Noped által a .jpg és .jpeg fájlok azonosítására alkalmazott eljárások. De ha hasonló elven működik, mint a legtöbb keresőrendszer, akkor a Noped a fájlokat speciális kulcsszavak vagy mondatok alapján azonosítja. Ez pedig számos olyan otthoni vagy munkahelyi gépen tárolt fájl téves beazonosításához vezethet, amelyeknek semmi közük a tiltott pornográfiához - állítja a Vigilinx.

Külön megjegyzik egyébként, hogy a féregvírus írójának szándékától függetlenül egy ilyen átvilágító megoldás nem túl jó ötlet. Illegálisan behatol a számítógépekbe, és megsérti a felhasználók magánszféráját, amikor listákat állít össze a fájlokról. Az eredmények közé inkább az fog tartozni, hogy többször körbekeringve levéllavinákat indítva bénítja meg a szervereket.

A Noped egy Visual Basic Script (VBS) programnyelven megírt féregvírus, amely e-mailhez csatolva érkezik. A vírus kódolja saját magát, megkísérelve átbújni a szűrőprogramok hálóján. A levél témája (Subject sora) a következő: "Help us ALL to END ILLEGAL child porn NOW". A levél törzse pedig: "Hi, just a quick e-mail. Please read the attached document as soon as you can. Thanks".

A vírust tartalmazó csatolt fájl látszólagos neve "END ILLEGAL child porn NOW.TXT", de a program beállításaitól függően az árulkodó .VBS kiterjesztés is megjelenhet. Ha az Outlook levelezőprogram felhasználója megnyitja a csatolt fájlt, a jegyzettömbben megjelenik egy szöveg, amely tájékoztat a gyerekpornó jogi definíciójáról, és figyelmeztet, hogy a 17 évnél fiatalabbakkal kapcsolatos szexuális tartalmak birtoklása és forgalmazása büntetendő.

A háttérben a Noped a szerző saját oldalára változtatja az Internet Explorerben beállított nyitólapot, néhány ponton módosítja a Windows regisztrációs adatbázisát, és valamennyi elérhető meghajtón elkezdi vizslatni a JPG és JPEG fájlok nevét.

Ha megtalál egyet is a keresett fájlok közül, az előre beállított állami hivatalok közül egy véletlenül kiválasztott címre elküldi az árulkodó üzenetét. A féregvírus lekapcsolja a Windows figyelmeztető hangot, és a megtámadott gépen talált címlista alapján elküldi magát minden ismerősnek.

A Noped eltávolítására a Symantec vírusirtó cég a VBS.Noped.A@mm fertőzött fájlok törlését, illetve a Registry visszaállítását javasolja.