Mikko Hyppönen, az F-Secure fő víruskutatója, azok közé tartozik, akinek az írásaira érdemes odafigyelni. A már általunk is többször idézett weblogján ezúttal egy rendkívül izgalmas összeesküvés-elméletet vázol fel.

Történt ugyanis, hogy március 9-én a változatosság kedvéért egy újabb Bagle-mutáns tűnt fel. Azonban ez a féreg nem terjed, mint rokonai, tehát nem is tartozik hivatalosan a féreg kategóriába. Ellenben a gépre telepíti a Mitglieder proxy trójai programot, mely a spammerek egyik kedvelt hátsó bejárata a mit sem sejtő felhasználók gépére. A trójai akkor jelent meg először, amikor a Bagle.A-val fertőzött gépek letöltötték azt egy weboldalról.

Azokban a napokban kezdett el a MyDoom vírus is fertőzni, amely köztudomásúlag egy hátsó kaput (backdoor) nyitott a fertőzött gépeken. Néhány hét múlva egy egész világot átfogó portscannelésnek (pásztázásnak) lehettünk a tanúi. Azokra a gépekre, ahol a hátsó kapu nyitva volt, feltöltötték a Mitglieder egy újabb verzióját, majd ezen keresztül elkezdett spameket küldözgetni. Hyppönen e gondolatmenet alapján kapcsolatot vél felfedezni a MyDoom és a Bagle írója között, hiszen a MyDoom által nyitott résen a Bagle által használt trójai besettenkedhetett a védtelen rendszerbe.

A kutató még tovább megy, és arra a következtetésre jut, hogy a korábbi Lovegate és Sobig férgek, melyek a Wingate proxy program rosszindulatú felhasználásával érték el ugyanezt a hatást, ugyanettől a programozói körtől származnak.

Hyppönen egy korábbi tanulmányában már pedzegette, hogy összefüggés lehet a szervezett spammerek és a vírusírók között. A szervezettség tényét mi is érzékeltük vizsgálataink során. Laborunkban elemezve a MyDoomot már gyanítható volt, hogy a vírus írója nem csak a kulcslyukat helyezte el a gépen, hanem a kulcs mellett rendelkezett azzal a trójaival is, melyet fel kívánt használni. A tapasztalatunk az volt, hogy a hátsó kapun csak egy bizonyos méretű fájlt lehetett feltölteni. Nem lennénk meglepve, ha ez a bizonyos fájlméret pontosan akkora lenne, mint a Mitglieder nevű trójai. Amit sejthetünk: a vírus írói az USA-ban vannak, és – a jelek szerint – nem félnek. Mi pedig továbbra is szenvedhetünk a sok kéretlen e-mailtől.

Krasznay Csaba (BME IK ITSec Csoport - IHM-együttműködés)