Mydoom

számítógépes vírus
Ez a közzétett változat, ellenőrizve: 2023. október 13.

A MyDoom, vagy más néven W32.MyDoom@mm, watson postmortem debugger, Novarg, Mimail.R vagy Shimgapi, egy számítógépes vírus, mely a Microsoft Windows rendszereket fertőzi meg. Először 2004. január 26-án látták, és gyorsan kiérdemelte a "valaha leggyorsabban terjedő e-mail féreg" jelzőt, megdöntve a Sobig féreg előző rekordjait.

A Mydoom az e-mail spammerek egyik eszköze, hogy kéretlen leveleket küldjenek a fertőzött számítógépeken keresztül. A féreg kódjában a következő szöveg található: "andy; I'm just doing my job, nothing personal, sorry," (Andy, én csak a munkámat végzem, semmi személyes, bocsánat.) Az üzenet alapján valószínűsíthető, hogy a féreg készítőjének fizettek, hogy megírja a MyDoom-ot. Néhány adatbiztonsággal foglalkozó cég ugyan közzétette a feltevéseit, miszerint a férget valószínűleg egy orosz származású profi programozó írta, de a valódi megalkotója mai napig ismeretlen.

Feltevések szerint a féreg létrehozásának egyetlen célja az volt, hogy végrehajtsanak egy DDoS (Distributed Denial of Service) támadást az SCO Group ellen. A MyDoom.A-val fertőzött gépek 25%-ánál a [www.sco.com] volt célpontként megadva. A kereskedelmi sajtó feltevése szerint a férget egy Linux vagy open source támogató írta, az SCO Group vitatottan legális Linux elleni megnyilvánulásaira, és lépéseire válaszul. Ezt a teóriát azonnal elutasították a biztonsági fejlesztők, és később a bűnüldözés is, mivel a vírus vizsgálata során azt az online szervezett bűnözéshez kapcsolták.

Kezdeti analízisek azt sugallták, hogy a MyDoom a Mimail féreg egy variánsa – innét a Mimail.R alternatíva kifejezés – sőt, ugyanaz a személy felelős mindkét féreg létrejöttéért. Későbbi analízisek viszont már kevesebb kapcsolatot mutattak a két féreg között.

A MyDoom-ot Craig Schmugar nevezte el, aki a McAfee számítógépes biztonsági cég alkalmazottja, és a féreg egyik első felfedezője. Schmugar a nevet a féreg kódjában található "mydom" szöveg észrevétele után adta. "Már az elején nyilvánvaló volt hogy ez nagy lehet. Úgy gondoltam a "doom" (végzet) elnevezés sokkal megfelelőbb lenne."

Technikai áttekintés

szerkesztés

A MyDoom elsősorban e-mailen terjed, és átviteli hibaként tünteti fel magát, "Error" vagy "Mail Delivery System", "Test" vagy "Mail Transaction Failed" szövegek valamelyikét írva a levél tárgyához angol, francia, vagy más nyelveken. A levél tartalmaz egy csatolt állományt, amit ha lefuttatunk, az szétküldi a férget a számítógép helyi fájljaiban található összes címre – így a felhasználó címjegyzékében található összes kapcsolatra is – Emellett bemásolja magát a KazaA peer-to-peer megosztóprogram megosztási mappájába is, hogy ezúton is terjedjen.

A MyDoom kerül minden címet, ami egyetemekhez köthető, így a Rutgers, MIT, Stanford, és UC Berkeley címeire nem fogja magát továbbítani. Szintúgy kerüli a nagy informatikai vállalatok, mint például Microsoft, Symantec címeit is. Néhány korai feljegyzés azt írja, hogy a féreg elkerül minden .edu címet is, de ez nem megszokott.

Az eredeti MyDoom.A tartalmazott: - Egy backdoort a 3127-es TCP porton, amely lehetővé tette a fertőzött PC irányítását (a MyDoom saját SHIMGAPI.DLL-ének elhelyezésével a system32 könyvtárba, amit később a Windows Explorer gyermekalkalmazásaként hívott meg); ez lényegében ugyanaz a backdoor, amit a Mimail is használ. - Egy DoS támadást a sokat vitatott SCO Group ellen, amit 2004. február 1-jére időzítettek. Sok szakember kételkedett, hogy ez a tartalma működni fog. Későbbi tesztek kimutatták, hogy csak a fertőzött gépek 25%-án volt képes működésbe lépni.

A második verzió, a MyDoom.B tartalmazta mindazt, amit az eredeti, de emellett támadta a Microsoft oldalait, és blokkolta a HTTP hozzáférést a Microsoft oldalaihoz, és a népszerűbb online antivírus oldalakhoz, vírusirtó eszközökhöz, és antivírus frissítésekhez. A csekélyebb számú másolat miatt ez a verzió csak kisebb problémákat okozott a Microsoft szervereiben.

Történelmi áttekintés

szerkesztés
  • 2004. január 26.: A MyDoom vírust először reggel 8 körül azonosították EST idő szerint (13:00 UTC), épphogy a munkanap megkezdése előtt az USA-ban. A korábbi üzenetek Oroszországból származtak. Pár óra leforgása alatt a féreg gyors terjedésének köszönhetően az egész internetes adatátvitel érezhetően lelassult, egy átlagos oldal betöltésének idejét körülbelül 50%-kal megnövelve. A biztonsági cégek jelentései szerint a MyDoom minden tizedik elektronikus levélben fellelhető volt ekkor. Bár a MyDoom DoS támadása 2004. február 1-jére volt időzítve, az SCO Group weboldala elérhetetlenné vált röviddel az első féreg megjelenése után. Mai napig tisztázatlan, hogy a MyDoom volt-e a felelős ezért. Az SCO Group elérte, hogy néhány DDoS támadás célpontjává váljon 2003-ban, de ezek nem voltak összefüggésbe hozhatóak számítógépes vírusokkal.
  • Január 27.: Az SCO Group $250.000 jutalmat ajánl fel annak, aki információval tud szolgálni, amely segít kézre keríteni a féreg alkotóját. Az Egyesült Államokban az FBI és a Titkos Szolgálat elkezdi vizsgálni a férget.
  • Január 28.: Két nappal az előző támadás után egy második verzióját fedezték fel a MyDoom-nak. Az első üzeneteket 14:00 UTC idő szerint fogták el, és megint csak Oroszországból származtak. Az új verzió egy DoS támadást tartalmazott az SCO Group és a www.microsoft.com ellen, amit február 3-ára időzítettek. Bár úgy tűnt, egyik kódrész sem üzemképes, vagy eleve csak ál-kódnak írták bele, hogy rejtsék a MyDoom.B backdoor funkcióját. A B variáns ezenfelül meggátolja a hozzáférést több mint 60 számítógépes cég weboldalához, és emellett felugró reklámokkal is bombázza a felhasználót a DoubleCLick-nek és más online marketing cégeknek köszönhetően. Elemzők szerint a MyDoom terjedése tetőpontjához érkezett: minden ötödik e-mail tartalmazza az ártó kódot.
  • Január 29.: A MyDoom terjedése kezd alábbhagyni, ahogy a MyDoom.B-ben található hibák gátolják azt, hogy olyan gyorsan terjedjen, mint az A variáns. A Microsoft $250.000 jutalmat ajánl fel annak, aki információval segíti a nyomozókat a MyDoom.B féreg megalkotójával kapcsolatban.
  • 2004. február 1.: Körülbelül egymillió fertőzött számítógép kezdi meg a DDoS támadást az SCO ellen. Ahogy megérkezik Kelet-Ázsiába és Ausztráliába február 1-jén, az SCO visszavonja a www.sco.com-ot a DNS-ről úgy 17:00 UTC szerint még január 31-én.
  • Február 3.: A MyDoom.B DDoS támadása a Microsoft ellen megkezdődik, így a Microsoft előkészít egy weboldalt, az information.microsoft.com-ot, amire a féreg nincs hatással. Mindazonáltal a támadás ereje minimális volt, és a www.microsoft.com végig üzemképes maradt. Ez a MyDoom.B lassú terjedésének tudható be.
  • Február 9.: A Doomjuice, egy "parazita" féreg terjedni kezd. Ez a féreg a MyDoom által hagyott backdoort használja ki terjedésnél, MyDoom által nem fertőzött gépeket egyáltalán nem is támad. Hasonlóan a MyDoom.B-hez ez a féreg is egy DoS-támadást tartalmaz, amelynek a Microsoft a célpontja.
  • Február 12.: A MyDoom.A úgy volt programozva, hogy ezen a napon teljesen leálljon a terjedéssel, bár a backdoorok ezután is nyitva maradtak.
  • 2004. március 1.: Az A variánshoz hasonlóan a B is leállt a terjedéssel, bár a backdoor funkció itt is üzemképes maradt.
  • 2004. július 26.: Egy MyDoom variáns megtámadja a Google-t, az AltaVista-t, és Lycos-t, teljesen üzemképtelenné téve a népszerű Google keresőmotort egy hosszabb időre, és érzékelhető lelassulásokat okozva az AltaVista és Lycos motorokban órákon át.
  • 2004. szeptember 10.: A MyDoom.U .V .W és .X megjelenik, óriási riadalmat keltve, hogy egy új, még erősebb MyDoom terjedésnek indult.
  • 2005. február 18.: A MyDoom.AO variáns is megjelenik.

Fordítás

szerkesztés
  • Ez a szócikk részben vagy egészben a Mydoom című angol Wikipédia-szócikk fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.