E-mail - modny i wygodny, ale czy bezpieczny? cz.2

Robaki MSBlast i Sobig.F

Robak Blaster korzysta z wykrytej przez Polaków z grupy Last Stage
of Delirium dziury w systemach Windows XP (i innych z rodziny NT).
Dzięki tej dziurze, komputer połączony z internetem, po odebraniu spreparowanego pakietu internetowego automatycznie ściąga plik robaka
i instaluje go. Dodatkowo sposób działania Blastera powoduje duże utrudnienia w korzystaniu z komputera, nawet z nie zainfekowanego - restartowanie się, zawieszanie, nieprawidłowe działanie aplikacji, zapychanie się sieci. Objawem próby ataku jest otrzymanie informacji
o błędzie programu svchost. Jesli teraz użytkownik wyda polecenie shutdown -a to zablokuje restart komputera, co umożliwi skonfigurowanie serwisów obsługiwanych przez ten program (lista poniżej) w taki sposob, aby po błędzie nie resetować maszyny.
-Zdalne wywoływanie procedur (RPC)
-Zawiadomienie o zdarzeniu systemowym
-System Zdarzeń COM+
Po tych operacjach należy zainstalować aktualizacje krytyczne dla systemu Windows, najwygodniej użyć do tego celu mechanizmu WindowsUpdate.
Innym popularnym robakiem, choć już nie tak groźnym, jest Sobig.F.
Mimo iż wykorzystuje on mechanizm poprzednich odmian Sobig, to jednak rozprzestrzenił się na ogromną skalę. Do aktywacji wymaga jednak uruchomienia załącznika, co w nowych wersjach pocztowych programów Microsoft jest już niemożliwe. Ogroma ilość wysyłanych listów elektronicznych z kopiami robaka z zainfekowanych komputerów powoduje zwiększenie się ruchu w sieci, co może spowodować zapchanie łącz internetowych firmy.

Robak wstawia w pole nadawcy listu ze swoją kopią losowy adres odnaleziony na dysku twardym zainfekowanego komputera. Powoduje to,
że trudno jest wykryć źródło infekcji, ponieważ adres nadawcy listu
z wirusem nie jest rzeczywistym miejscem skąd pojawił się wirus. Przybliżone odnalezienie nadawcy jest możliwe po przejrzeniu pełnego nagłówka listu i odszukaniu pól Received. Niewinny użytkownik może zostać poinformowany iż rozsyła tego robaka, poświęci dużo czasu na sprawdzanie swojego komputera i nic nie znajdzie.

Aby ustrzec się przed zagrożeniami wykorzystującymi błędy
w oprogramowaniu należy na bieżąco monitorować strony producentów oprogramowania i instalować łaty tam się pojawiające. Można też odpowiednio skonfigurować firmowego firewalla (na przykład zablokować port usługi tftp - trivial ftp - wykorzystywanego już przez robaka Nimda),
a na komputerach z udostępnionym połączeniem modemowym zainstalować programowy firewall (na przykład ZoneAlarm, OutPost Firewall).

Przed epidemiami robaków rozsyłających się pocztą elektroniczną konieczne jest instalowanie i ciągła aktualizacja programów antywirusowych na serwerach pocztowych. Warto odpowiednio skonfigurować programy odbierające pocztę e-mail, tak by nie uruchamiały plików wykonywalnych, lub automatycznie zmieniały rozszerzenie załącznika.

Kamil Konieczny
programista MKS Sp. z o.o.
29 października 2003, godz. 00:00