Mydoom: הווירוס בעל קצב ההתפשטות המהיר ביותר
התולעת, שמקיפה כעת כ-20 אחוז מכל תעבורת הדואר האלקטרוני בעולם, מתפשטת בקצב מהיר יותר מ-Sobig F, שפגע בעשרות אלפי מחשבים
תולעת המחשבים Mydoom (או Novarg.A) הדביקה עד כה כ-350,000 מחשבים ברחבי העולם מאז זוהתה, ביום ב' השבוע. התולעת, שמקיפה כעת כ-20 אחוז מכל תעבורת הדואר האלקטרוני בעולם, מתפשטת בקצב מהיר יותר מ-Sobig F, שפגע בעשרות אלפי מחשבים בחודש אוגוסט, 2003.
אריאל פיסצקי, מנהל תחום אבטחת מידע בחברת "נטוויז'ן", מעריך כי הווירוס מכה קשות גם בישראל. "ארגון גדול קיבל ב-24 השעות האחרונות 18,000 הודעות דואר אלקטרוני, 14,000 מתוכן היו התולעת", לדבריו.
על פי הערכת חברת מקאפי, ארגונים גדולים מקבלים 160,000 עותקים של Mydoom בשעה, בהשוואה ל-140 אלף הודעות לשעה במקרה של Sobig F. "ללא ספק מדובר בווירוס בעל קצב ההתפשטות המהיר ביותר בכל הזמנים", מסר קרייג שומכר, מנהל מחקר במקאפי.
קצב ההפצה הגבוה נגרם גם בשל הרושם שהווירוס יוצר, כאילו מדובר במכתב שחזר לשולח. כאשר הווירוס מתקבל בדואר האלקטרוני, כותרת ההודעה עשויה להיות test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status או Error. מומלץ לא לפתוח כל הודעה הנושאת אחת מכותרות אלה.
מספר תכונות הופכות את Mydoom למזיק במיוחד
הווירוס יכול להיות מלווה בכל טקסט שהוא, מאחר והוא מספיק משוכלל כדי לייצר אינספור צורות פנייה. שם הקובץ המצורף עשוי להיות document, readme, doc, text, file, data, test ועוד. סיומת הקובץ עשויה להיות .pif, .scr, .exe, .cmd, .bat או .zip. פיסצקי מציין כי היכולת הייחודית של הווירוס להפיץ עצמו בקובץ זיפ הביאה לגידול במספר ההדבקות בארגונים, מאחר והתולעת הצליחה לחדור בעד הפיירוול ולגרום לנמענים שלא חשדו לפתוח את הקובץ המצורף.
התולעת יודעת לא לשלוח עצמה מדומיינים המסומנים כחשודים מראש של ידי תוכנות אנטי וירוס (למשל, הוטמייל). פיסקצי אומר כי הנזק שעלול הווירוס לגרום למחשב גדול מזה שנגרם על ידי בלאסטר. במקרה הנוכחי, לבד מתופעה של ביצועים איטיים, יקשה על המשתמש לגלות כי מחשבו נושא וירוס, בעוד המחשב יהיה פרוץ לחלוטין לרשת ויאפשר לכל אדם להשתלט עליו באמצעות סוס טרויאני שיותקן מרחוק. לדבריו פיסצקי, ברשימות תפוצה בנושאי אבטחה כבר דווח על רשימות של אלפי מחשבים הפרוצים לחלוטין, וייפלו בידי כל תוקף זדוני שיחליט להשתמש בהם כחיילים נאמנים לצורך התקפה על שרת אינטרנט מסוים.
גירסה חדשה
בתוך כך, גירסה חדשה של Mydoom החלה להתפשט ברשת בשעות האחרונות. גם גירסה זו מתפשטת בדואר האלקטרוני ובאמצעות רשת שיתוף הקבצים "קאזה", ועלולה להתקבל מכל כתובת דואר אלקטרוני – גם אלה המוכרות לנמען. בעוד Mydoom אמורה לתקוף את אתר האינטרנט של חברת SCO, Mydoom.B מתוכנתת להשיק מתקפת שלילת שירות (DoS) על אתר האינטרנט של מיקרוסופט.
SCO, המנהלת מאבק משפטי נגד חברת IBM שלטענתה שילבה רכיבים ממערכת ההפעלה הקניינית יוניקס, אשר בבעלות SCO, לכאורה, במערכת ההפעלה החופשית לינוקס, נאלצה לסגור את אתר האינטרנט שלה למשך 10 דקות אתמול (ד') לאחר שהוצף בבקשות לקבלת מידע של עותקי הווירוס. החברה הודיעה כי היא מציעה 250,000 דולר למוסר מידע שיביא ללכידת כותב הווירוס Mydoom. בעוד שכעת רק חלק מעותקי הווירוס מתקיפים את אתר האינטרנט של SCO בבקשות לקבלת מידע, שיעור ההתקפות צפוי להתגבר במידה ניכרת ביום א', ה-1.2.
תופעה בעייתית נוספת: הווירוס משכתב את הקובץ hosts המקומי ומוסיף בו הפניות שגויות לאתרי אינטרנט. זאת, על מנת להטעות את תוכנות האנטי וירוס על מנת שלא יוכלו לעדכן את קובצי החתימה ולהתגונן מפני הווירוס. פיסצקי ממליץ לגולשים לוודא כי תוכנת האנטי וירוס שלהם עודכנה לאחרונה לאחר ה-26 בחודש ינואר ואם לא - לעדכנה כעת.
גם הגירסה החדשה של התולעת מעתיקה עצמה לתיקיית ההורדות של תוכנת "קאזה" בשמות של תוכנות פופולריות כמו winamp5, icq2004-final ואחרים ביחד עם סיומת .pif, .scr או .bat. פיסצקי מביע חשש כי הגרסאות הבאות של התולעת יפיצו עצמן באמצעות רשתות שיתוף קבצים באופן אקטיבי - כלומר, ידחפו עצמן אל מחשבי הגולשים המשתמשים ב"קאזה" במקום להמתין לאלה להתפתות ולהורידן בעצמם. במקרה כזה, קצב ההדבקות עלול לזנק מחדש.
