Tuzemské společnosti se podařilo zmapovat šíření viru Swen
S počítačovým virem se pravděpodobně setkal každý, kdo pracuje s internetem. Letošní rok je z hlediska útoku virů nejhorším v celé historii. Nejčernějším měsícem je zatím srpen - během pár dní zažili uživatelé internetu tři mimořádné epidemie. Názvy virů jako MiMail, Blaster nebo Sobig-F se staly stejně „populárními“ a frekventovanými, jako jména politiků či fotbalových hráčů. V září na světovou síť zaútočil další úspěšný virus, Swen. Kromě toho, že nakazil téměř 900 tisíc počítačů, se oproti jiné nepříjemné havěti nijak výrazně neliší. Přesto však může znamenat průlom v boji proti virům – poměrně přesně byl totiž zmapován proces jeho šíření v čase, i počet postižených. Zajímavé je, že se to „podařilo“ české firmě. Autor viru totiž využil ke zjištění počtu „svých obětí“ internetové počítadlo společnosti Brain Systems, která se zabývá vývojem informačních portálů.
Mimikry.
Virus W32/Swen.A se rozesílá zejména prostřednictvím elektronické pošty a tváří se jako oficiální e-mail softwarové společnosti Microsoft, který v sobě obsahuje bezpečnostní záplatu, neboli ochranu operačního systému počítače proti útokům virů. „Právě proto, že dokáže přesvědčit uživatele, že jde o korektní zprávu od Microsoftu, adresáti ho otevírají. A právě proto je tak úspěšný a drží se stále na vrcholu mezi nejrozšířenějšími viry,“ soudí Pavel Krčma z antivirového oddělení společnosti Grisoft. „Ovšem Microsoft nikdy neposílá svým zákazníkům soubory přiložené k e-mailu, ale oficiální upozornění s odkazem na stránku, odkud lze soubor stáhnout,“ upozorňuje mluvčí českého zastoupení firmy Jiří Grund. O tom, že počítačoví nadšenci budou moci zjistit přesné počty nakažených a rychlost šíření viru Swen, rozhodl prakticky autor viru sám. Zřejmě chtěl monitorovat jeho rozšiřování, proto vybral počítadlo společnosti Brain Systems (www.webcounter.cz), které každý nově nakažený počítač kontaktuje. „To je klasické, volně dostupné počítadlo, které tvůrci webových stránek používají, aby měli přehled o počtu návštěvníků,“ vysvětluje ředitel Brain Systems Jakub Dadák. V současnosti firma eviduje kolem 60 tisíc uživatelů tohoto počítadla.
Stopy.
Během 18. září, kdy se Swen začal se stoupající intenzitou šířit, zaznamenal monitorovací systém Brain Systems podežrelé přetížení serveru, na kterém je počítadlo umístěno. „Ukázalo se, že jde o rapidní nárůst aktivity počítadla, které mělo za úkol mapovat šíření Swenu, proto jsme informace z inkriminovaného počítadla začali zaznamenávat,“ vzpomíná Dadák. Za normálních okolností je vzhledem ke značnému zatížení „logování“ (tedy zaznamenávání informací o IP adresách napadených) vypnuto, proto firma nemohla zaznamenat informace v prvních hodinách šíření viru. „Přesto vznikla unikátní kolekce dat o rychlosti rozšíření viru. Poprvé v historii je znám přesný počet nakažených počítačů v každém okamžiku, dynamika šíření viru, nebo například skladba uživatelů dle zemí,“ řekl Dadák týdeníku EURO.
Žebříček společnosti TrendMicro řadí Swen i v současnosti na čtvrté místo mezi nejvíce nebezpečné viry, specializovaný server Živě.cz ho označil za nejvýznamnější virovou hrozbu v měsíci září. Ke konci minulého týdne evidovalo počítadlo téměř 900 tisíc nakažených a hodnoty uváděné odbornou společností MessageLabs na jejích webových stránkách jsou téměř čtyřikrát vyšší. „To jen zdůrazňuje fakt, jak složité je odhadnout skutečný počet infikovaných počítačů,“ tvrdí Dadák. Škody, které Swen způsobil, si netroufá Dadák odhadovat, říká však, že půjde minimálně o statisíce dolarů. „V případě tohoto viru to jsou klasické náklady na jeho odstranění a ztráty vzniklé časovou prodlevou, když uživatelé nemohou využívat počítač,“ dodává. Šéf Brain Systems v současnosti nemá žádný konkrétní záměr, jak se získanými daty naložit, nicméně připouští, že případné zájemce o poskytnutí údajů by neodmítl.
Další informace o viru Swen naleznete na webové stránce www.webcounter.cz/swen)
Řádil na celém světě Nakažené počítače virem Swen dle internetových domén Doména Země Počet napadených počítačů
- .net - (bez určení – komerční doména) - 191022
- ? - s nerozpoznanou doménou - 141091
- .com - (bez určení – komerční doména) - 95188
- .it - Itálie - 91759
- .au - Austrálie - 47702
- .nl - Nizozemsko - 45101
- .jp - Japonsko - 39455
- .cz - Česko - 26777
- .fr - Francie - 21645
- .ar - Argentina - 21345
- .br - Brazílie - 20544
- .be - Belgie - 11959
- .ca - Kanada - 11079
- .uk - Velká Británie - 10688
- .no - Norsko - 8405
- .mx - Mexiko - 8167
- .uy - Urugay - 7789
- .fi - Finsko - 7730
- .pl - Polsko - 7474
- .se - Švédsko - 6919
- .ru - Rusko - 5752
- .ch - Švýcarsko - 5476
- .at - Rakousko - 4610
- .sk - Slovensko - 4545
- .de - Německo - 3762
- .co - Kolumbie - 3061
- .hr - Chorvatsko - 2834
- .dk - Dánsko - 2798
- .ie - Irsko - 2565
- .ro - Rumunsko - 2484
- .hu - Maďarsko - 2269
- .nz - Nový Zéland - 2141
- .es - Španělsko - 2033
Pozn.: stav k 29.10.2003 Pramen: Brain Systems, www.webcounter.cz// Jakub Dadák Autorem může být i Čech EURO: Jak a kdy jste se o viru Swen ve firmě dozveděli? DADÁK: Spojitost mezi virem a Brain Systems představuje můj kolega, který za dob studia na brněnském Vysokém učení technickém zprovoznil veřejnou službu, počítadlo přístupů na webové stránky. Po ukončení provozu školního počítače, na kterém se tato služba provozovala, byla přesunuta na náš firemní server (www.webcounter.cz – pozn.red.). Virus W32/Swen.A se masívněji začal šířit letos 18. září, přičemž některé zdroje uvádějí, že byl poprvé detekován již 14. září na Slovensku. Ale18. září začal kolega dostávat maily upozorňující na skutečnost, že nový vir zneužívá počítadlo, které provozujeme, také náš monitorovací systém signalizoval neobvyklý nárůst zátěže serveru. EURO: Proč si autor viru vybral právě toto počítadlo? DADÁK: Pravděpodobně mu vyhovovalo, že pro jeho využití se nemusí nikde registrovat. Při prvním, anonymním, použití služby se počítadlo založí automaticky samo. EURO: Dokážete vystopovat, odkud se vir začal šířit, respektive kde ho jeho autor pustil do světa? DADÁK: To se bohužel přes veškeré snažení zatím nepodařilo zjistit. Pravděpodobně byl virus na začátku poslán na sadu adres po celém světě a asi je jen otázkou náhody, zda v dané zemi překoná kritickou hodnotu a začne se masivněji šířít. EURO: Může být autorem viru Čech nebo osoba nějak spjatá Českou republikou? DADÁK: Autor viru může pocházet z Čech nebo Slovenska. Návod na použití počítadla existuje jen v češtině, ale tento fakt nemusí nic znamenat. Je také možné, že se k němu tato informace dostala zprostředkovaně. EURO: Čím si vysvětlujete, že se kromě vaší společnosti nepodařilo žádné jiné organizaci či jedinci vystopovat šíření viru, respektive dostat se k tak podrobným datům? DADÁK: To, že nelze jednoduše vystopovat šíření jakéhokoliv viru, je dáno architekturou internetu. Neexistuje v něm žádný centrální bod, přes který proudí všechna data a kde by bylo možné sledovat jeho šíření. Sledování postupu počítačových červů je - pokud je to vůbec technicky možné - mravenčí prací, představující pomalé probíjení se proti proudu jeho šíření. V tomto případě, kdy byl k šíření použit e-mail, to představuje cyklus postupného zpětného dotazování uživatelů, od kterých se vir šířil, až k první kopii mailu, ze kterého lze získat IP adresu odesílajícího počítače. Ovšem získání této adresy spolu s časem odeslání ješte automaticky neznamená odhalení autora, protože pokud autor viru je alespoň trochu opatrný, dá si velký pozor, aby ho pomocí této adresy nebylo možné identifikovat. Místo toho pravděpodobně použil jednu z několika možností, jak anonymně vystupovat na internetu, například z internetových kaváren, knihoven či anonymního mobilního připojení s předplacenou kartou a nepoužitým mobilem. To, že se naše společnost dostala k těmto datům, lze přičíst shodě okolností. Jednak, že autora viru možnost využití počítadla vůbec napadla, a tím informace o šíření viru soustředil na jedno místo, a jednak, že si vybral zrovna to počítadlo, které je pod naši kontrolou. EURO: Čím se Swen od jiných virů a červů liší? DADÁK: Pokud jsem dobře informován, tak se tento vir liší použitím počítadla za účelem anonymního on-line sledování jeho šíření. Pokud pominu jeho poměrně úspěšné šíření, pak se svým chováním neliší od jiných virů. EURO: Kdy šíření viru kulminovalo? DADÁK: V pondělí 22. září, respektive v pracovních dnech týdne od 22. do 26.září. Od té doby šíření s jistými výkyvy klesá. Nicméně se domnívám a zárověň se obávám, že jeho úplné šíření jen tak brzo neskončí. Myslím, že je to záležitost měsíců, nebo i roků. EURO: Kolik počítačů bylo doposud nakaženo? DADÁK: Naše záznamy říkají, že od večera 18. září, bylo do půlnoci 28. října celosvětově infikováno téměř 900 tisíc počítačů. Jen v doméně .cz bylo infikováno téměř 27 tisíc počítačů. Je potřeba si ale položit otázku, zda virus kontaktuje počítadlo i v tom případě, kdy je počítač nakažen off-line, tedy když je odpojen po stáhnutí mailů. Proto si myslím, že skutečná čísla budou o něco vyšší. Zajímavé je srovnání těchto údajů s údaji některých antivirových společností. EURO: Dokážete zjistit strukturu postižených, kolik zasáhl vir firemních uživatelů a kolik domácnosti? DADÁK: To lze jen hrubě odhadovat, ale za předpokladu, že se domácí uživatelé připojují pomocí vytáčeného připojení, lze odhadnout, že jejich podíl bude někde okolo 50 až 60 procent. EURO: Před vámi se nikomu nepodařilo přesně popsat počet napadených počítačů, nebo například intenzitu jeho šíření. Jak hodláte s těmito daty naložit? DADÁK: V současnosti si nedovedu představit, že by taková data byla pro někoho nějak extrémě zajímavá. Snad pomohou k lepším a střízlivějším odhadům šíření počítačových virů v budoucnu. Určitě to jsou ale první a především velmi přesná data, která lze statisticky využít pro vyhodnocení šíření virů. EURO: Ve světě existuje několik skupin lovících viry. Kontaktoval Brain Systems někdo v souvislosti se Swenem? DADÁK: Ano, bylo jich několik a ozvaly se poměrně záhy. Měly zájem pochopitelně o přístup číslo jedna a o záznamy o napadených počítačích. S jedním lovcem jsme se dokonce i osobně setkali.
