Úgy tűnik, már nem csak a sarki kocsmákban erősködnek a szokásosnál több adrenalinnal megáldott júzerek, hanem az interneten is. Ami különösen tragikussá teszi a dolgot, hogy mindezt vírusfertőzésen keresztül teszik. Mint arról már beszámoltunk, nagyjából egy hete hatalmas féreginvázióval szembesülünk: a Bagle és a Netsky féreg több új verziója jelent meg a múlt hét végén. A változatosság kedvéért kedden egy újabb MyDoom-variánssal is találkozhattunk. Újdonság azonban, hogy a vírusok szerzői elkezdtek egymásal társalogni.

Az F-Secure weblogján követhetjük nyomon a virtuális társalgást. A Bagle.J szerzője például a következő keresetlen üzenetet helyezte el a féreg törzsében: "Hey, NetSky, f*ck off you b*tch, don't ruine our bussiness, wanna start a war ?", azaz a kolléga azt kérdi a NetSky szerzőjétől, hogy miért rontja az üzletét, valamint "gyere ki a hóra" stílusban háborúra hívja a konkurenciát.

A MyDoom.G-ben a következő üzenet található: "to netsky's creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app." Az üzenet arra akar utalni, hogy a NetSky vírus a Terminátorban megismert SkyNet hálózatról kapta a nevét, a MyDoom szerzője szerint viszont a SkyNethez hasonló hálózatnak csak a Slapper és a Sinit férget nevezné.

Természetesen a NetSky szerzője sem marad adósa a többieknek: "Skynet AntiVirus -  Bagle - you are a looser!!!!" És persze a NetSky.F már a Bagle vírust is pusztítja az általa fertőzött gépen. Erre rögtön válasz is jött a Bagle írójától: "Hey, NetSky, f*ck off you b*tch!".

Már megjelent a MyDoom.H vírus is, a szakemberek azonban hírünk írásának idején még nem tették közzé a benne található üzenetet. A kakaskodás tehát egy darabig folytatódni fog. Az "alkotók" azonban elkövették azt a hibát, hogy túl sűrűn jelentkeznek. Nagyobb összegben lehet fogadni, hogy előbb-utóbb hibát követnek el, és akkor nagydarab, fekete ruhás látogatóik lesznek.

A Bagle vírus eközben tovább finomodott, az általa generált üzenet törzsében olyan szöveg található, melyben figyelmeztetnek a vírusveszélyre, és megkérik a felhasználót, hogy a levél mellékleteként küldött titkosított ZIP fájlból bontsák ki a megfelelő védelmet biztosító fájlt. Ezt a módszert social engineeringnek nevezik, amit magyarul a képzetlen (naív) felhasználók megtévesztéseként értelmezhetünk. Felhívjuk tehát az amatőr felhasználók figyelmét, hogy minden kétes e-mail esetében érdeklődjenek rendszergazdájuknál vagy IT szakértőjüknél. A titkosított ZIP fájl külön pikantériája, hogy levelezőszervereken telepített vírusirtók nem képesek megvizsgálni a tartalmát. Hatásos védekezésként azt javasoljuk a rendszergazdáknak, hogy a mellékletként 10-20 kB közötti ZIP fájlokat tartalmazó e-maileket mindenképpen karanténozzák.

A hír írásakor egyébként 11:8:6 arányban a Bagle és a MyDoom vezet a NetSky-jal szemben.

Krasznay Csaba (BME IK ITSec Csoport - IHM együttműködés)