A Bagle.H féreg komoly feladat elé állította a vírusirtókat gyártó cégek szakértőit. A vírus ugyanis olyan jelszóvédett ZIP fájlban terjed, melyet a víruskeresők nem képesek megvizsgálni, de jelszava megtalálható a hordozó e-mail törzsében, így a felhasználó gond nélkül ki tudja bontani. Ezt a problémát próbálja megoldani két biztonsági cég.

A BitDefender Antivirus és a Kaspersky Antivirus olyan frissítést adott ki termékeihez, melyek képesek megkeresni a ZIP fájl jelszavát az e-mailben, majd azt felhasználva megvizsgálni a fájlt.

Forrás: www.ik.bme.hu

Csoportunk értékelése szerint ez tűzoltó megoldás, ugyanis csak a Bagle jelentette veszélyre ad megoldást. Javasoljuk, hogy a hálózatokért felelős rendszergazda olyan levelezési szabályt állítson be, mely a 20-30 kB körüli titkosított ZIP fájlokat karanténozza, majd a karanténozás után üzenetet küld a címzettnek, aki eldöntheti, hogy általa várt levélről van-e szó. Fontos azonban, hogy a feladónak sose küldjünk visszajelzést a fertőzött üzenetről, hiszen napjaink férgei mindig meghamisítják a feladót, így magunk is spammelőkké válunk.

Amennyiben ez nem megvalósítható, javasoljuk, hogy minden gépen legyen a vírusirtó mellett személyes tűzfal (personal firewall) is, mely bár a gép fertőzését nem akadályozza meg, de a tömeges e-mail küldést és a hátsókapu (backdoor) nyitását igen. Nagyobb hálózatokat felügyelő rendszergazdáknak pedig javasoljuk valamilyen biztonsági scanner (pl. az ingyenes Nessus nevű program) használatát, mely képes a felügyelt tartományban található biztonsági lyukak felderítésére, így a korábbi, backdoor-t nyitó vírusfertőzések is felderíthetők.

Krasznay Csaba (BME IK ITSec Csoport - IHM együttműködés)