BugBear.B: kreditné karty aj eBanking v ohrození

Ako sme vás už informovali, svetom internetu sa šíri nový vysoko rizikový vírus. Nebezpečnosť červa Bugbear.B vďaka jeho vlastnostiam naberá podľa

antivírovej spoločnosti Sophos nové dimenzie.Klez.I ďaleko vzaduNový variant červa BugBear.B sa stal neslávne slávnym hrdinom posledných dní. Vírus šírený formou elektronickej pošty využíva známu (a naďalej u mnohých užívateľov nezaplátanú) dieru v MIME a IFRAME v niektorých verziách Microsoft Outlook, Outlook Express a Internet Explorer. Diera umožní automatické spustenie prílohy bez varovania. Microsoft vydal opravnú záplatu, bližšie sa o chybe dozviete na Microsoft Security Bulletin MS01-027.Prakticky všetci antivíroví špecialisti udelili červu najvyšší rizikový stupeň a šíri sa doslova rýchlosťou blesku už od štvrtkového rána. Vtedy ho po prvýkrát identifikovala firma Sophos. O aktivite červa najlepšie svedčia i hlásenia od Panda Software. BugBear.B, napadajúci systémy najmä v Európe a USA, infikoval už aspoň 400 000 firemných počítačov. Zaujímavo taktiež vyznieva porovnanie s doterajším hitom červom Klez, vo variante Klez.I. Za menej ako 24 hodín od objavenia nový červ napadol viac počítačov, než dokázal infikovať Klez.I za celý mesiac máj (!). Pozor na kreditné kartyNové zistenia expertov z antivírovej spoločnosti Sophos však dokazujú, že hlavným zámerom BugBearu nie je len zabrzdenie (resp. kolaps) elektronickej komunikácie. Jeho cieľ sa volá internetové bankovníctvo a on-line platby.Na základe zistení totiž zdrojový kód červa obsahuje viac ako 1 300 adries bánk či finančných inštitúcií. To premenené na drobné znamená, že vírus je nebezpečný najmä pre tých, ktorí používajú služby internetového bankovníctva. Podobné služby sa začínajú udomácňovať aj v našich končinách, kde rovnako zaznamenávame výskyt infekcií BugBearu.B. Ako je zrejmé aj zo samotného popisu vírusu, odcudzenie citlivých dát, vrátane prihlasovacích kódov na e-commerce stránky, internetové banky, čísiel kreditných kariet (platba za služby) a pod, je realizované cez funkciu key logger. Ide o funkciu, ktorá do dynamickej knižnice zapisuje všetky stlačené klávesy v infikovanom systéme. Knižnica s príponou DLL sa nachádza v zložke Windows/System a obvykle má veľkosť 5632 bajtov. Práve spomínaná databáza bánk má červu (útočníkovi) pri zneužití dát výdatne napomôcť. Sophos i ďalšie antivírové spoločnosti preto dôrazne vyzývajú na aktualizáciu vírusových databáz.Zatiaľ však v čase prípravy článku neboli známe žiadne prípady zneužitia kreditných kariet. Podrobnejšie sme sa problematike červa i možným spôsobom obrany proti nemu venovali v samostatnom článku.9 hodín bez elektronickej poštyZaujímavá informácia, týkajúca sa priamych škôd spôsobených červom, sa objavila ešte v priebehu konca uplynulého týždňa na stránke spravodajskej agentúry Reuters. Podľa nej e-maily generované enginom Bugbearu vo štvrtok doslova zaplavili serverové systémy známej americkej Stanford University. Výsledok na seba nenechal dlho čakať univerzita sídliaca v Kalifornii, 40 km od San Francisca, bola na deväť hodín prakticky odrezaná od virtuálneho sveta a komunikácie. Tentoraz však nešlo o klasický prípad zrútenia sa serverov. Niektoré zo zachytených infikovaných e-mailov totiž obsahovali aj vytiahnuté súkromné informácie z druhých mailov. Práve kvôli prípadným únikom osobných dát sa univerzita rozhodla stopnúť všetku odchádzajúcu poštu. Služba však bola obnovená ešte v priebehu štvrtkového večera.