Talán meglepő a párhuzam, de a számítógépes vírusok nem csak terjedési módjukban emlékeztetnek a természetben előforduló társaikra. Hasonlóság az is, hogy a felhasználónak legalább egy alkalommal át kell élnie valami súlyosabb krízist, mielőtt komolyabban foglalkozni kezdene számítógépe védelmével.
Jobb esetben megússza egyszerűbb vírusok településével, amelyeket aztán a víruskereső programok könynyedén eltakarítanak, rosszabb esetben viszont komoly információvesztést vagy személyes adatainak ellopása miatt akár anyagi kárt is szenvedhet. Csakhogy amíg ez nem történik meg, sokan nem veszik komolyan a fenyegetést. Gyakran ez nem puszta felelőtlenség, hiszen a legújabb kártevőkben megjelenő technológiai újítások alkalmanként még a szakembereket is meglepik.
Ma már kevesen emlékeznek a „boldog békeidőkre”, amikor a Yankee Doodle nevű kártevő minden délután pontban 5 órakor elmuzsikálta az amerikai dalt, amelyről nevét kapta. Az sem közismert, hogy az első szabadjára engedett számítógépvírus több mint 17 éve, 1986-ban jelent meg Pakisztánban. Az 1998-ban világra jött W95.CIH (Cernobyl) viszont már sokaknak emlékezetes lehet, mivel Magyarországon is adtak ki számítástechnikai szaklaphoz olyan CD-mellékletet, amely ezzel a vírussal volt fertőzött. Az igazi áttörést azonban az internet s főként a nagy sebességre alkalmas széles sávú elérések honi fejlődése hozta, hiszen ezzel a magyar felhasználók is beléptek a világ vírusfogyasztóinak szépen bővülő táborába.
Amely társaságnál talán csak a víruskészítők csoportja gyarapodik tempósabban, hiszen ma már ott tartunk, hogy naponta több tucat új károkozó tűnik föl a világhálón. Az átlagos vírus elkészítéséhez ugyanis nem szükséges kiemelkedő programozói tudás, olyannyira nem, hogy léteznek olyan vírusíró sablonok, amelyek segítségével egyszerű kattintgatással megalkotható a kívánt kártevő.
Ezek a sufnibarkács vírusok szerencsére nem okozhatnak komolyabb fejtörést, hiszen leginkább egy már korábban azonosított program módosítgatásán alapulnak. Így nem is várható tőlük olyan „eredmény”, mint amilyet a néhány óra alatt 300 ezer gépet megfertőző e-mail vírus, a Melissa vagy a 24 éves tajvani diák által írt, 2,5 millió számítógépet tönkretevő W95.CIH (Cernobyl) produkált.
Mindez azt mutatja, hogy az információáramlással együtt a vírusok terjedési sebessége is fölgyorsult. A flopilemezen terjedő károkozóknak még több hónapra, sőt évre volt szükségük, hogy gépről gépre hurcolva elterjedhessenek, de a Word dokumentumokat megfertőző makrovírusok is csigatempóban szóródtak szét a világban mai társaikhoz képest. Egy másik rekorder, a 2001 szeptemberében fölbukkant Nimda vírus 24 óra leforgása alatt 2,2 millió gépet fertőzött meg.
S a fejlődés e téren is töretlen, hiszen immár nemcsak a hagyományos számítógépek, hanem a kézikomputerek, sőt idővel a mobiltelefonok is a vírusírók célpontjai lehetnek. Ebben az örök versenyfutásban a víruskereséssel foglakozó cégek jelentik a „jó fiúkat”.
Védelmi szoftverekből meglehetősen bőséges a választék, Magyarországon azonban mindössze egyetlen vállalat foglalkozik fejlesztéssel, a többi vállalkozó csupán külföldi partnereinek termékét értékesíti.
– A cég története 1992-ben indult, de a piacon számottevően 1996-tól vagyunk jelen. Ekkor ismertük föl, hogy a külhoni cégek ugyan nagyon jó termékeket kínáltak, mégis gyakran előfordult, hogy a magyar viszonyokra fejlesztett rendszereken nem működtek tökéletesen – emlékezik Bozsó Julianna, a VirusBuster Kft. ügyvezetője. – Az akkoriban meglehetősen merésznek számító vállalkozásba heten vágtunk bele, s ma már negyvenketten dolgozunk a kft.-nél.
A magyar cégnek az első időszakban az informatikai piacra jellemző bizalmatlansággal kellett megküzdenie, hiszen a felhasználók a szoftvervédelmi rendszereket hosszú távra vásárolják, s egy kezdő, kis alaptőkével alakult vállalkozásnál bizonytalan a jövő. Épp ezért volt jelentős előrelépés, amikor 2000-ben megkezdődött a honi vírusvédelmi szoftverek külföldi tesztelése.
– Legutóbb a Virus Bulletin független angol szaklap februári tesztjén, melyet Windows NT 4.0 platformon végeztek, a VirusBuster for Windows Workstations ismét megszerezte a Virus Bulletin 100% Awardot, mivel 100%-os vírusfelismerési arányt ért el. Ezt a minősítést azok a vírusvédelmi termékek kapják meg, melyek felismerik az összes vadon terjedő vírust, ugyanakkor nem okoznak vakriasztást a tiszta fájlokon történő kereséskor – mondja az ügyvezető.
A puding próbája azonban még a számítástechnika világában is az evés, így a január végén támadásba lendült MyDoom vírus feltűnésekor a számítógép-tulajdonosok élesben tesztelhették PC-jük védelmi képességeit.
– Ez a mostani vírusincidens arra volt jó, hogy az emberek rádöbbenjenek a korrekt védekezés fontosságára – véli Bozsó Julianna. – Hiszen elég egyetlen pont, ahol a károkozó bejuthat a rendszerbe. A magánszemélyek egyébként meglehetősen jól védettek Magyarországon, s a tapasztalatok is azt mutatták, hogy a MyDoom leginkább azokon a rendszereken jelent meg, ahol nincs központi levelezésvédelem-melléklet szűréssel.
Szappanos Gábor, a kft. víruslaboratóriumának vezetője szerint a MyDoom vírus ugyan jelentős médianyilvánosságot kapott, ám a kártevő célja, tehát egy kijelölt internetes honlap megtámadása leginkább a gyerekes csínytevés kategóriájába sorolható.
– Nemcsak a vírusok technológiája, hanem a mögöttes tartalmuk is megváltozott. Korábban egy-egy kártevőnek semmiféle mögöttes tartalma sem volt, a készítők megelégedtek azzal, hogy elindították a programot, aztán látták a vírus nevét a CNN-en. Esetleg egyszerű anarchikus szemlélettől vezérelve weblapokat támadtak meg, vagy a számítógépekről adatokat töröltek le. A mostanában felbukkant vírusok közül azonban egyre többet kifejezetten anyagi haszonszerzés céljából készítenek. Ezen kártevők feladata, hogy kellő számú gépet fertőzzenek meg, majd ezekről a fertőzött gépekről nagy mennyiségű kéretlen reklámleveleket, úgynevezett spameket küldjenek szét. A spamek feladóinak ugyanis az a legnagyobb problémájuk, hogy feltűnés nélkül kell rengeteg elektronikus levelet kézbesíteniük, mert ha az internetes szolgáltatók beazonosítják őket, akkor blokkolják a címüket. Ráadásul egyre több országban jelent törvénysértést az ilyesfajta e-mailek „postázása”. (Egy dán bíróság precedensértékű ítéletében nemrég 400 ezer koronára, mintegy 14 millió forintra büntette az Aircom Erhverv ApS távközlési berendezéseket gyártó vállalatot, mivel a cég másfél ezer kéretlen e-mailt küldött ki.) A vírus felhasználásával viszont az eredeti feladó beazonosíthatatlan, a fertőzött gép tulajdonosa pedig magyarázkodhat, hogy ő nem is tudott a levélküldési akcióról.
Hogy mi a gond a spamekkel? A kéretlen e-mailek okozta kár leginkább a „kezelésükkel” eltöltött idővel mérhető: a nagy mennyiségben érkező spamek azonosítása, kiválogatása, elolvasása és/vagy törlése valóban jelentős kiesést okozhat az alkalmazottak munkaidejéből. Emellett lényeges lehet a hálózat és a levelezőszerverek felesleges terhelése is, mely feldolgozási és tárolási kapacitásban is érinti a hálózatot. Felhasználói oldalon ráadásul fennáll az adatvesztés lehetősége is, hiszen a valóban értékes információ elveszhet a tömegesen érkező reklámlevelek között. További veszélyforrás, hogy az utóbbi időszakban megfigyelhető a kéretlen levelek és a vírusok összefonódása, így egyre gyakrabban érkeznek a különböző kártevők valamely spamlevél mellékleteként.
Persze a vírusok már akkor rettegésben tartották a felhasználókat, amikor a spameknek még hírük-hamvuk se volt. S a számítógépekre írt alkalmazások korszerűsödésével a kártevők is megváltoztak.
– Azt mondhatjuk, hogy az operációs rendszerek fejlődésével alakultak át a vírusok. Amikor például a Windows első, széles körben elterjedt változata, a 3-as megjelent, a korábbi, úgynevezett dosos vírusok nem tudtak továbbterjedni, mert a fertőzött gépeken már el sem indult az operációs rendszer – magyarázza Szappanos Gábor. – Erre a problémára jelentettek a vírusírók szempontjából megoldást az úgynevezett bootvírusok, amelyek viszont a 32 bites operációs rendszerek megjelenésével tűntek el. Nyolc éve jelentek meg, s 4-5 évig a leggyakoribb vírustípusnak számítottak a makrovírusok; ezeket a kártevőket tekinthetjük a nagy túlélőknek, hiszen jó néhánnyal találkozhatunk közülük mind a mai napig. De már eljárt fölöttük az idő, most – a közelmúltban megjelent szoftverjavításoknak köszönhetően is – az e-mailben terjedő vírusok és a hálózati megosztásokon terjedő kártevők vették át a meghatározó szerepet.
A kártevők palettája egyébként is egyre színesebb. A szakemberek már nemcsak vírusokról, hanem férgekről és trójai programokról beszélnek.
– A vírusok és a férgek önmaguktól képesek szaporodni, és ha készítőjük elindítja őket, attól a pillanattól folyamatosan új célpontokat keresnek. A vírusok mindig más hordozót fertőznek meg, míg a férgek mindig ugyanabban a hordozóban jelennek meg, tehát saját magukat másolják és terjesztik. A trójai programok hasznos alkalmazásnak álcázott kártevők. A trójaiak nem sokszorosítják magukat, de kárt tehetnek a rendszerben. Általában elektronikus levélben futnak be, azonban a vírusokkal ellentétben nem küldik el magukat automatikusan további címekre. Szükség van arra is, hogy a trójai rávegye a felhasználót, futtassa le a gépén a kártevő megtelepüléséhez szükséges alkalmazást. Ezért ezek a programok gyakran például egy látványos képernyővédőbe csomagolva érkeznek az elektronikus postaládákba.
Gyakori párosítás az is, hogy a kártevők kaput nyitnak az úgynevezett backdoor programok számára. A backdoor olyan, a megfertőzött számítógép tulajdonosa által láthatatlan szoftverelem, melynek segítségével a program küldője átveheti a hatalmat a gép fölött: a kártevő terjesztője így az interneten keresztül megtekintheti a gépen tárolt adatokat, amelyeket módosíthat vagy akár le is törölhet. A backdoor programok ugyanakkor lehetőséget biztosítanak arra is, hogy egy távoli megfigyelő lejegyezze internetezési szokásainkat vagy akár a különféle jelszavakat, amelyeket számítógépünk billentyűzetén keresztül írtunk le.
A vírusok sokfélesége miatt a védelemmel foglalkozó cégek laboratóriumai állandó kapcsolatban állnak egymással, s ha új kártevő tűnik föl a világhálón, azonnal értesítik partnereiket. Természetesen mindegyik labor önállóan is figyeli az internetet.
– Az első árulkodó jel a levelezőszerverek forgalma: ha feltűnik egy gyors terjedésű vírus, azonnal megugrik a levélforgalom, hiszen a kártevő minél több példányban akarja továbbítani önmagát. Az is gyanús ilyenkor, hogy a levelek ugyanazt a mellékletet tartalmazzák. De víruscsapdákat is alkalmazunk, amelyek az internetre csatlakoztatott, védtelennek tűnő gépek. Ezekre a számítógépekre hétköznapokon ötven, hét végén százötven károkozó fut be egyetlen nap alatt, amelyek közül legalább egy teljesen új vírus. Összességében egyébként 24 óránként negyvennél is több új károkozó tűnik föl a világhálón. Ezt a mennyiséget azért lehet kezelni, mert a friss vírusok nagyrészt régebben megjelent verziók módosított változatai, s így az elődre írt védelmi eljárások megfogják őket.
Az új vírus a csapdagépről olyan számítógépre kerül, ahol a szakemberek tesztkörnyezetben futtathatják, kiderítve a kártevő programozójának szándékait. Ha analizálták a vírust, akkor az azonosítóját hozzáadják a védelmi szoftver adatbázisához, amely ezt követően már könnyedén kiszűri a fertőzött elemeket. Ha egy vírus komoly fenyegetést jelent – ilyen volt a MyDoom is –, akkor az adatbázist már a kártevő lokalizálását követő második órában frissítik.
Hiába azonban a gyors reagálás, a víruskeresők mindig egy lépéssel lemaradva követik a kártevők alkotóit. S a küzdelemben egy percnyi szünet sincs: a világ valamely távoli pontján talán épp ezekben a pillanatokban készül minden idők legpusztítóbb számítógépes vírusa.
***
Mindörökké MyDoom
A január 27-én felbukkant MyDoom kategóriájának összes korábbi rekordját megdöntötte, mivel terjedésének csúcspontján minden 12 elektronikus levélből egy ezzel a féreggel volt fertőzött. A vírusmizéria pikantériája, hogy a MyDoom nem valamilyen szoftverhibát használt ki, hanem az emberi hiszékenységre alapozva özönlötte el a világhálót: a kártevő ugyanis teljesen rendben lévőnek tűnő e-mailként jelentkezett a postafiókokba, ezért rengetegen megnyitották a levelet, azonnal megfertőzve gépüket. A féreg „sikeréhez” a zseniális időzítés is hozzájárult, hiszen a kártevő feltűnésekor az Amerikai Egyesült Államokban tombolt a hétfői hétindító elektronikus levéldömping, így pillanatok alatt rengeteg vállalati rendszer fertőződött meg. A vírus végül elérte az alkotója által elhatározott célt, hiszen az összevont támadás napján sikerrel bénította meg az SCO nevű cég weboldalát.
Mint ahogyan az várható volt, a MyDoom sikere további változatok, illetve a MyDoom által nyújtott lehetőségeket kiaknázó kártevők elkészítésére ösztökélte a rosszindulatú programozókat, hiszen a féreggel fertőzött gépek, ha megfelelő utasítást kapnak, valóságos internetes hadsereggé szerveződhetnek, hogy bármely kiszemelt honlapot elárasszanak, lehetetlenné téve a célpont elérését.
A Vesser vagy más néven Deadhat férget február 7-én azonosították. A féreg a MyDoom A és B változatai által nyitott hátsó ajtón (backdooron) keresztül terjed, s veszélyezteti a megfertőzött gépek biztonságát. A MyDoom készítőinek új művével, a DoomJuice nevű kártevővel február 9-én találkoztak először a szakemberek. A DoomJuice azokat a Windows operációs rendszereket futtató számítógépeket keresi, melyeken már megtelepült az elődjének A variánsa. A DoomJuice a fertőzött számítógépekről hatpercenként indít támadást a Microsoft cég honlapja ellen. Mivel ez a kártevő nem tartalmaz semmiféle időzítést, valószínűsíthető, hogy a támadások mindaddig folytatódni fognak, amíg akár egyetlen DoomJuice-szal fertőzött számítógép is csatlakozik a világhálóra.