Vírusfronton a helyzet változatlan
Hiába reménykedtünk abban, hogy már nem vagy nem sokkal romolhat tovább a vírushelyzet. Tavaly, a késő őszi hónapokban több új kártevőcsalád egy-egy friss tagja is felbukkant. Ezek közül a VBScript programférgek közé sorolandó BubbleBoy érdemel részletesebb ismertetést.Az 1999-es év igazi újdonságai közé sorolhatók a több támadáspontú makrovírusok és scriptvírusok. Sajnos, mindennapos jelenség, ha egy makrovírus a Word mellett Excel, Access és/vagy Powerpoint dokumentumokba is beírja saját kódját. E vírusok közös nevezője a Visual Basic, amely a Microsoft Office '97-tel szinte az összes irodai alkalmazásba beépült.A célpontok köre október végétől azonban egy újabb programmal is kibővült. Október 25-én jelentették be a DataFellows weblapján (hivatalosan ma már F-Secure Company néven szerepel a cég), hogy egy korábban ismeretlen makrovírusra bukkantak, amely a Microsoft Project 98 állományait is célpontnak, sőt szaporodási közegnek tekinti. A névtelen elektronikus levélben beküldött vírusmintáról (egyes vélemények szerint maga a szerző küldte el, mintegy tesztelni vírusát) kiderült, hogy egyaránt képes szaporodni Word 97 és Word 2000 dokumentumokban, valamint a Project .MPP állományaiban. Mint családjának első példánya, a Comer (jövevény) névre elkeresztelt vírus valószínűleg demonstrációs céllal született, és a szaporodáson kívül egyéb "illegális tevékenységet" nem folytat.November első felében bukkant fel az interneten egy másik kártevő, amely nem vírus, hanem a programférgek (Worm) csoportjába sorolható, és amelyet BubbleBoy, illetve VBS/Bubbleboy néven vett nyilvántartásba a szakma. – A Network Associates (McAfee VirusScan) weblapján november 8-án, a DataFellowsnál november 10-én írtak a BubbleBoyról. – A féreg működésének előfeltétele a Windows Scripting Host (WSH) aktív jelenléte az adott rendszeren. Ez a szolgáltatás alapértelmezésként jelen van a Windows 98 és Windows 2000 rendszereken, valamint ott, ahol az Internet Explorer 5-öt úgy telepítették, hogy nem iktatták ki a Windows Scripting Host telepítését.A programféreg levélbe ágyazott HTML-formátumban terjed. Az internetet mint szaporodási területet felhasználó többi programkártevőtől eltérően a BubbleBoy-jal fertőzött elektronikus levél csatolt állományt nem tartalmaz. A féreg megcélzott közege az Outlook (egészen pontosan az Outlook '98, az Outlook 2000 és az Internet Explorer 5-tel együtt telepedő Outlook Express).A féreg a vezérlést a fertőzött levél megnyitásakor ragadja magához, és az Outlook ActiveX szolgáltatásait felhasználva küldi szét másolatait a megfertőzött gép levelezőpartnereinek. Az Outlook Express 5 esetében még meg sem kell nyitni a fertőzött levelet, mivel annak Preview üzemmódjában is aktivizálódik és terjed. Más levelezőrendszereket a BubbleBoy nem fenyeget, mert a fenti automatikus programindítási lehetőséget csak az Outlook nyújtja.A fertőzés megelőzhető, ha az Internet Explorerben a biztonsági beállításokat a legmagasabb szintre explandáljuk, vagy más, nem Microsoft-fejlesztésű levelezőprogramot használunk. Ezzel megakadályozható a féregprogram futása. Az eset rámutat az Internet Explorer egyik biztonsági hiányosságára, amit a Microsoft részben már orvosolt is azzal, hogy elkészítette programjának javítását, amely letölthető a http://www.microsoft.com/security/Bulletins/ms99-032.asp címről. (További letöltési címek és információk: http://windowsupdate.com, http://www. microsoft. com/ msdownload, http://www.microsoft.com/ msdownload/ iebuild/ascontrol/en/ascontrol.htm, http://www. microsoft.com/security/Bulletins/ms99-048faq.asp, http://support.microsoft.com/support/kb/articles/q244/5/40.asp).Félő azonban, hogy többen vannak, akik nem tudnak sem a programféreg okozta fenyegetettségről, sem a már tulajdonképpen rendelkezésre álló javításról. Az emberek többsége – főleg Magyarországon – nem csatlakozik közvetlenül az internetre, s ha igen, akkor sincs felkészítve a frissítések letöltésére és telepítésére. Így hiába áll készen a javítás, amennyiben a szoftverek telepítését és újratelepítését a korábban megvásárolt CD-lemezekről végzik, elmarad annak a biztonsági lyuknak a befoltozása, amelyet a BubbleBoy típusú kártevők kihasználnak.
Hatáselemzés
A BubbleBoy programkódja a következő lépéseket végzi el, amennyiben nem kapják el időben: átírja a programok tulajdonosának nevét BubbleBoyra (innen a név), a jogosult felhasználási helyet pedig Vandelay Industriesre, mint azt az ábrán is láthatjuk. Ezek azonban csak mellékes tünetek. Ami ennél sokkal aggasztóbb, az az, hogy a BubbleBoy az Outlook összes címlistájának minden címére elküldi saját magát. Az elküldés tényét előrelátóan a Registryben rögzíti, és többször már nem küldi el magát ugyanoda.A fertőzött levél viszonylag könnyen felismerhető, mert a féreg minden esetben a képen levő mintához hasonlóan készíti el: a From: (Kitől:) mezőbe a fertőzött felhasználó levelezési neve kerül. A Subject: (Tárgy:) mezőbe a "BubbleBoy is back!" felirat kerül, és a szövegtörzsben a Seinfeld című tv-sorozatból való képek találhatók.Miután a levelezést, azaz a szaporodást a féreg elintézte, megjeleníti a hibaüzenetet.Érdemes a BubbleBoy jelenség hatásait is elemezni. Talán kezdjük azzal, hogy megint megdőlt egy korábban megingathatatlannak tűnő axióma. Korábban azt írtuk, tanítottuk, hogy maguk az e-mail üzenetek nem jelentenek, nem jelenthetnek veszélyt a felhasználó adataira és programjaira, csak a hozzájuk csatolt (attachment), potenciálisan vírushordozó program-, tömörített vagy dokumentumfájlok. Mivel azonban az Outlook az üzenetszövegbe beágyazott script programokat is képes automatikusan elindítani és végrehajtani, e programcsalád komoly rést nyit a számítógépes rendszerek biztonságán.Meggondolandó, hogy mekkora veszélyt jelent, illetve jelenthet a hálózatba kötött rendszerek biztonságára, ha olyan levelezőszoftvert használunk, amely lehetővé teszi elektronikus levelekben érkező, ellenőrizetlen programok futtatását. A BubbleBoy ma még nem tartalmaz kifejezetten ártó, romboló céllal beágyazott rutinokat, de ez semmiképpen sem garantálható a jövőben, így feltétlenül számításba kell venni a védelmi rendszer kialakításakor, illetve bővítésekor az Outlook és az Internet Explorer e potenciális biztonsági réseit is.
Az Office 2000 mellett kínált Small Business Custom Manager jelzi ugyan, hogy valami van a levélben, de nem sok információt ad róla, s a fertőzött üzenetek Outlook 2000-rel való megnyitásakor is csak egy árnyalatnyival több figyelmeztetést kap a gyanútlan felhasználó.Év eleji hírek
Februárban az internet több negatív szenzációval is szolgált. Magyar vonatkozásban elég, ha az Elender elleni támadásokat említjük meg. A neves hazai internetszolgáltató minden erőfeszítése dacára sem tudta megakadályozni, hogy egy hacker feltörje biztonsági rendszerét, és miután többször is behatolt a védettnek hitt területekre, több ezer felhasználói nevet és jelszót helyezett el különböző weblapokon.Amellett, hogy sok mindent máshogy is lehetett volna csinálni az ilyen és hasonló támadások megelőzésére, el kell ismernünk, hogy az internetszolgáltatók fokozott támadásoknak vannak kitéve. Mert ott van a hegy...Egy konkrét és szintén aktuális amerikai példa, a neves webszolgáltatók, mint az Amazon.com, a Yahoo!, az eBuy és a Buy.com elleni összehangolt támadássorozat, amelynek ügyében már az FBI is kiterjedt nyomozásba kezdett. A Melissa-vírus fejlesztőjének gyors kézrekerítésével magának e téren is tekintélyt kiharcoló nyomozó szervezet már egyhetes vizsgálódás után is komoly eredményeket mutathat fel. Kiderítették, hogy egy egyetemről indult a támadás, és az egyelőre Waldóként emlegetett támadó számítógépek százait vetette be a megcélzott rendszerek elleni támadásába. E gépek Amerika-szerte véletlenszerűen helyezkednek el, és üzemeltetőiknek a legcsekélyebb közük sincs Waldóhoz. Az egyetlen közös az érintett gépekben az, hogy gépeikre – a kellő védelem hiányában – a hackernek sikerült feltöltenie saját programjait, majd távirányítással e gépekről bombázta üzenetekkel a megcélzott szolgáltatókat.Az eset tanulsága az, hogy ma már édeskevés arról gondoskodni, hogy a vírusvédelem megfelelő színvonalú és naprakész legyen. Az internet felé nyitott kapuk megfelelő ellenőrzése nélkül bárki hackertámadásoknak nemcsak célpontjává, de akaratlanul eszközévé is válhat. És a következmény: újabb milliók fognak az információbiztonsággal professzionális szinten foglalkozó hazai és nemzetközi cégek kasszájába befolyni. Mert aki nem védekezik, az előbb-utóbb áldozattá válik a farkastörvényű világban.