Ο δημιουργός αυτού του worm δείχνει να διεξάγει δοκιμές για τη δημιουργία νέων παραλλαγών, με στόχο να αιφνιδιάσει τους χρήστες και να προκαλέσει μία σοβαρή επιδημία

Αρχικά, το worm Korgo.A θεωρήθηκε ότι είναι μία ακόμη παραλλαγή του διαβόητου Sasser. Ωστόσο, το γεγονός ότι εμφανίστηκαν 12 παραλλαγές του σε ελάχιστο χρόνο υποδηλώνει πιο δυσοίωνα κίνητρα, τα οποία θα μπορούσαν να αντιπροσωπεύουν σοβαρή απειλή για την ακεραιότητα των συστημάτων πληροφορικής.

Τα worms Korgo, όμοια με το Sasser, εκμεταλλεύονται το πρόβλημα ασφάλειας LSASS για την ταχύτατη εξάπλωσή τους μέσω Internet. Αλλά ανόμοια με το Sasser, αυτά τα worms προσπαθούν να διατηρήσουν "χαμηλό προφίλ" όταν μολύνουν υπολογιστές, και κατά συνέπεια οι χρήστες δεν αντιλαμβάνονται καμία ένδειξη για το γεγονός ότι τα συστήματά τους έχουν μολυνθεί (όπως π.χ. η συνεχής επανεκκίνηση του συστήματος). Επίσης, ανάλογα με την παραλλαγή, μπορεί να σβήνουν συγκεκριμένα αρχεία, να ανοίγουν θύρες επικοινωνίας και να επιχειρούν να συνδεθούν σε διάφορους IRC servers.

Ένα άλλο σημαντικό χαρακτηριστικό είναι ότι ορισμένα από τα worms Korgo χρησιμοποιούν αντικείμενα mutex (mutual exclusion objects, αντικείμενα αμοιβαίου αποκλεισμού). Αυτά τα αντικείμενα μπορούν να ελέγχουν την πρόσβαση σε πόρους του συστήματος και να εμποδίζουν την προσπέλαση του ίδιου πόρου από περισσότερες της μιας διεργασίες. Ένα από τα αντικείμενα mutex που δημιουργούν αυτές οι μορφές εχθρικού κώδικα ονομάζεται utermXX (όπου XX είναι ένας - προφανώς διαδοχικός - αριθμός). Συνεπώς, το Korgo.C χρησιμοποιεί το αντικείμενο mutex utwrm7, το Korgo.J χρησιμοποιεί το uterm12, κ.ο.κ. Αυτό υπονοεί ότι υπάρχουν τουλάχιστον 12 εκδόσεις του worm (σ αυτή την περίπτωση, ο όρος έκδοση αντιπροσωπεύει έναν ιό ο οποίος έχει σημαντικά διαφορετικά χαρακτηριστικά από τους προκατόχους του). Επιπρόσθετα, υπάρχουν άλλες, υποδεέστερες παραλλαγές, οι οποίες διαφέρουν ελάχιστα από την αρχική έκδοση. Αυτό ισχύει, για παράδειγμα, με τα Korgo.K και Korgo.L, τα οποία δημιουργήθηκαν κάνοντας μικρής έκτασης τροποποιήσεις στον κώδικα της αρχικής έκδοσης.

Αυτές οι μορφές εχθρικού κώδικα κάνουν επίσης τροποποιήσεις στο Registry (Μητρώο) των Windows, με κάθε νέα παραλλαγή να καταργεί τις αλλαγές που έγιναν από τις προκατόχους της και να κάνει νέες. Αυτό σημαίνει ότι η σειρά με την οποία δημιουργήθηκαν μπορεί να εξακριβωθεί βάσει των αλλαγών που έχουν κάνει. Για παράδειγμα, το Korgo.D διαγράφει τις καταχωρίσεις που δημιούργησε το Korgo.F, πράγμα το οποίο υποδηλώνει ότι το Korgo.D είναι στην πραγματικότητα ένα πιο πρόσφατο δημιούργημα.

Ο στόχος του δημιουργού αυτών των worms παραμένει μυστήριο. Ο Luis Corrons, Επικεφαλής του Εργαστηρίου Καταπολέμησης Ιών της Panda Software εξηγεί: Το ποσό της εργασίας που αφιερώθηκε για την ανάπτυξη των worms Korgo υποδηλώνει ότι πρόκειται για κάτι πιο σοβαρό από μία απλή προσπάθεια εντυπωσιασμού. Μάλιστα, διαφέρει από την τυπική στρατηγική που ακολουθείται στις περιπτώσεις των περισσότερων ιών - κυκλοφορία όσο το δυνατόν περισσότερων παραλλαγών, με στόχο την μόλυνση όσο το δυνατόν περισσότερων υπολογιστών - δεδομένου ότι κάθε παραλλαγή μπαίνει στον κόπο να διαγράψει όλες τις προκατόχους της.

Απ ότι φαίνεται, οι δημιουργοί αυτών των ιών προσπαθούν να βελτιστοποιήσουν τον κώδικά τους, με στόχο να δημιουργήσουν ένα εξαιρετικά καταστροφικό μοντέλο ιού το οποίο θα αιφνιδιάσει τους χρήστες. Ωστόσο, μία επιδημία από τα worms Korgo θα ήταν αρκετά "σιωπηλή", καθώς ένα από τα βασικά χαρακτηριστικά τους είναι ότι οι ενέργειές τους περνούν απαρατήρητες από τους χρήστες.

Μία φαινομενικά αντιφατική λεπτομέρεια είναι η εξής: παρά την εξυπνάδα και την επινοητικότητα αυτών που τα δημιούργησαν, το worm Korgo χρησιμοποιεί το πρόβλημα ασφάλειας LSASS για να εξαπλωθεί, οπότε η δυνατότητα εξάπλωσής του παύει να υφίσταται αμέσως μόλις οι χρήστες εγκαταστήσουν την απαιτούμενη διόρθωση γι αυτό. Ωστόσο, αυτό μπορεί να μην αποτελεί πρόβλημα για τους δημιουργούς του, όπως εξηγεί ο Luis Corrons: 'Ο δημιουργός αυτού του worm θα μπορούσε να εκμεταλλευτεί και άλλα προβλήματα ασφάλειας που μπορεί να ανακαλυφθούν στο μέλλον. Για τον λόγο αυτό, συνιστούμε στους χρήστες να ενημερώνονται για τις νέες παραλλαγές που είμαστε σίγουροι ότι θα παρουσιαστούν. Όσο πιο σύντομα εντοπιστεί ο δημιουργός τους, τόσο το καλύτερο.'

Για την αποτροπή μολύνσεων από τα worms Korgo, η Panda Software συμβουλεύει τους χρήστες να λαμβάνουν τις απαιτούμενες προφυλάξεις για να ενημερώσουν το λογισμικό antivirus που χρησιμοποιούν. Η εταιρεία έχει κάνει ήδη διαθέσιμες στους χρήστες τις ενημερώσεις για τα προϊόντα της, διασφαλίζοντας έτσι ότι οι λύσεις τους θα μπορούν να ανιχνεύουν και να εξουδετερώνουν αυτές τις μορφές εχθρικού κώδικα. Για να κρατήσετε το Korgo και τις παραλλαγές του μακριά από τον υπολογιστή σας, θα πρέπει οπωσδήποτε να εγκαταστήσετε τη διόρθωση που παρέχει η Microsoft για το πρόβλημα ασφάλειας LSASS, την οποία μπορείτε να μεταφέρετε από την ακόλουθη διεύθυνση: http://ww.microsoft.com/technet/security/bulletin/MS04-011.mspx

Για την ανίχνευση και εξουδετέρωση αυτής και άλλων μορφών εχθρικού κώδικα, οι χρήστες μπορούν επίσης να μεταφέρουν το δωρεάν εργαλείο ActiveScan, το οποίο είναι διαθέσιμο στο Web site της εταιρείας, στη διεύθυνση http://www.pandasoftware.com

«  Προηγούμενo άρθρo	Επόμενo άρθρo  »