Nieoczekiwane zagrożenie

MyDoom okazał się więcej niż tylko wirusem pocztowym, zapychającym skrzynki poczty elektronicznej. Przeszedł jak burza przez Internet, nie tylko atakując pocztę, ale i powodując opóźnienia w ruchu internetowym. Jednak z prawdziwym niepokojem oczekiwano efektów "bomby z opóźnionym zapłonem" umieszczonej w kodzie wirusa, która miała uruchomić dwunastodniowy atak DOS na stronę internetową SCO Group.

Sam wirus wydawał się stosunkowo niegroźny - przychodził w liście o losowo generowanej zawartości, zawierającym tajemniczy załącznik. Do wielu użytkowników Internetu przychodzi kilkanaście tego typu przesyłek dziennie. Gdy użytkownik poczty otworzy załącznik wirus zaczyna działać - kopiuje się do rejestru Windows, otwiera port 3127 oczekując na polecenia z zewnątrz. Prawdziwe nasilenie się ataku tego wirusa nastąpiło w poniedziałek 26 stycznia 2004 roku.

Nikt nie spodziewał się tak szybkiego i szerokiego rozprzestrzeniania się wirusa. Według MessageLabs, amerykańskiej firmy zajmującej się bezpieczeństwem poczty elektronicznej, zaraził on co dwunasty e-mail, bijąc nawet wirusa SoBig z roku 2003, dla którego stosunek ten wynosił 1:17.

W czasie największego nasilenia rozprzestrzeniania się wirusa - pod koniec stycznia 2004 - dostęp do znanych stron internetowych wydłużył się o blisko drugie tyle. Sam ruch w Internecie był wolniejszy o najwyżej dziesięć procent, jak ocenia Keynote Systems, firma monitorująca efektywność działania Internetu.

Nie oznacza to, że same wielkie serwery internetowe mają kłopoty; to po prostu na drogach do nich prowadzących tworzą się zatory związane z nasiloną wymiana listów elektronicznych.

Źródła

• Matt Hicks, MyDoom Slows Web Performance, eWeek, 27 stycznia 2004.
• Larry Seltzer, MyDoom Lessons: Failures of Education, Antivirus Vendors, eWeek, 28 stycznia 2004.
• Michelle Delio, Worm Slowing, but Still Dangerous, Wired.com, 28 stycznia 2004.

Zwykle w takich sytuacjach szuka się winnych - czy powodem jest niedostateczna wiedza użytkowników na temat zagrożeń, czy zbyt słaba reakcja firm antywirusowych, czy powolna działalność działów IT firm lub dostawców usług internetowych? Nie można liczyć na użytkowników: pewnością wielu z nich zaciekawionych listem - któż nie lubi otrzymywac niezapowiedzianych wiadomości? - otworzy załącznik i uruchomi kod. Trochę jak dzieci wkładające palce do elektrycznego gniazdka, niepomne otrzeżeń rodziców. Wiadomość zawierająca wirus była właśnie tak skonstruowana, by budzić zaciekawienie.

Takie zachowanie, pozwiązane ze spóźnionym uaktualnianiem programów antywirusowych - lub wręcz brakiem ich stosowania - powoduje straty rzędu miliardów dolarów, związane z zablokowaniem skrzynek poczty, uaktualnianiem programów antywirusowych i skanowaniem systemów przez nie; słowem spadkiem efektywności pracy.

Jak jednak sytuacja będzie wyglądała w lutym 2004 - gdy wirus, z milionów zarażonych komputerów, zacznie atakować strony SCO? Czy spowoduje to problemy tylko u tych operatorów, którzy dostaraczają połączenia internetowe dla SCO, czy - na całym świecie? Innym jest zagrożeniem jest pozostawienie "tylnych drzwi" w postaci otwartego komputera... to zagrożenie może jeszcze całe tygodnie powodować kłopoty dla użytkowników zarażonych komputerów.

Jarosław Zieliński

29 stycznia 2004

Bezpieczeństwo internetowe