Novarg/Mydoom - Nýr ormur með öfluga dreifingu

Þann 26. janúar kl. 23:48 var stöðvað hjá Snerpu fyrsta eintakið af nýjum ormi sem hefur hlotið heitið I-Worm.Novarg hjá Kaspersky Antivirus. Á hádegi í dag var búið að stöðva um 4000 eintök. Ormurinn er einnig þekktur undir nafninu Mydoom. Fyrsta sólarhringinn dreifði þessi ormur sér á yfir 300.000 tölvur um allan heim á einungis nokkrum klukkustundum. Þetta er stærsta smitun á einum ormi í ár og sýnir öll merki þess að geta slegið metið sem Sobig ormurinn setti í fyrra, en þegar mest var fór hlutfall smitaðra tölvupósta í 70% - Á hádegi sama dag er hlutfall pósts sem smitaður er af Novarg orminum komið í 17,25% og fer hækkandi. Áður en ormurinn birtist var hlutfall smitaðra skeyta innan við hálft prósent.

Þessi sprenging í framleiðslu og dreifingu á tölvuvírusum og ormum bendir til ákveðins ásetnings hjá höfundum þeirra. Það innifelur m.a. í sér að dreifingaraðferðin einkennist af því að fyrst er búinn til hópur af smituðum tölvum með lágu sýkingarstigi. Þegar fjöldi smitaðra véla nær tilteknu marki fer af stað dreifing í stórum stíl. Þetta er sama aðferð og var notuð til að dreifa Sobig.F orminum í fyrra.

Kaspersky Labs hafa skoðað landfræðilega dreifingu Novarg og bendir hún til þess að hann sé upprunninn í Rússlandi. Novarg dreifir sér á tvo vegu, með tölvupósti og með Kazaa skrádeilikerfinu.Smituð skeyti hafa tilviljanakennt sendandanetfang, 8 mismunandi efnislínur, 18 mismunandi nöfn og 5 mismunandi nafnauka (extensions) á viðhenginu. Að auki dreifir ormurinn sér í skeytum þar sem efnislínan, efni skeytisins og viðhengisnafn samanstanda af tilviljanakenndum stafarunum. Þessi einkenni geta gert viðtakendum ormsins mun erfiðara fyrir um að gera sér grein fyrir að um smit sé að ræða.

Novarg birtist einnig á Kazaa skrádeilinetinu undir mismunandi nöfnum, þar með töldum winamp5, icq2004-final og undir ýmsum nafnaukum, svo sem bat, exe, scr, pif og fleirum.

Ef notandi keyrir skrána í hugsunarleysi, annaðhvort sem viðhengi úr tölvupósti eða sækir hana með Kazaa forritinu, kveikir Novarg á uppsetningar- og dreifirútínum sínum. Strax að því loku opnar Novarg Notepad glugga sem sýnir röð af tilviljanakendum stafastrengjum.

Um leið býr Novarg til tvær skrár í Windows möppunni: taskmon.exe (ormberann) og shimgapi.dll (trójuhestur sem hægt er að fjarstýra vél fórnarlambsins með). Ormurinn skráir þessa forritsbúta inn í 'registry' tölvunnar, tila ð tryggja að þeir keyra sig sjálfir upp við endurræsingu.

Að þessu loknu byrjar Novarg dreifingerferlið. Leitað er á harða diskinum eftr netfangabókum eða -skrám (með endinguna htm, wab, txt o.fl.) og án vitundar notandans er síðan hafin sending á orminum á þessi netföng. Að auki athugar ormurinn hvort viðkomandi tölva er tengd Kazaa netinu og ef svo er afritar hann sig í Kazaa deilimöppuna þar sem hægt er að sækja hann.

Með Novarg fylgir mjög hættulegur fylgikvilli. Í fyrsta lagi setur hann upp á vélina sk. 'proxyþjón'. Proxyþjón þenna geta 'netþjófar' notað til að dreifa ruslpósti eða nýjum útgáfum af orminum í miklu magni. Einnig setur Novarg upp 'bakdyr' (verkfæri fyrir óheimila fjarstýringu) sem gerir höfundinum mögulegt að stjórna smituðu tölvunni. Bakdyrnar geta nýst til að afrita, eyðileggja eða breyta gögnum o.s.frv. á smitaðri vél.

Í þriðja lagi er Novarg með innbyggðan klasa sem ætlaður er til netárása á vefinn www.sco.com. Klasinn fer í gang á milli 1. og 12. febrúar 2004. Á því tímabili reynir hann að gera fyrirspurnir á þetta vefsetur, sem getur orðið til þess yfirálag skapist á netsamböndum með tilheyrandi sambandsleysi.

Kaspersky veirugrunnurinn hefur þegar verið uppfærður til að þekkja þennan orm og eru notendur hvattir til að gæta að því að veiruvarnaforrit uppfæri sig reglulega. Þar sem ormurinn dreifir sér með fleiri aðferðum en tölvupósti vill Snerpa undirstrika nauðsyn þess að á öllum tölvum sem tengdar eru Netinu, sé uppsett og reglulega uppfært veiruvarnaforrit.

Snerpa