Virusas siunčia duomenis apie vartotojus į RIAA

Jei tikėti jų žodžiais, darbas buvo atliekamas keletu etapų. Iš pradžių sukurti „kirminai“, galintys išnaudoti pažeidžiamas populiarių programinių muzikos grotuvų, pvz. „WinAMP“, „mplayer“, „Windows Media Player“, „xine“, „mpg123“, „xmms“, vietas. Kenkėjiškas programinis kodas buvo talpinamas specialiai paruoštoje „*.mp3“ formato byloje. Vėliau buvo kuriamas „kirminų“ platinimo mechanizmas ir atliekami „trojano“ tobulinimo darbai. Viskam „Gobbles“ sugaišo apie du mėnesius.

Viruso veikimo principas: iš pradžių „kirminas“ patalpinamas vieninteliame P2P tinklo mazge (jį su malonumu pateikė RIAA). Kai su šiuo mazgu susijungia koks nors vartotojas, virusas atrenką optimalų užkrėtimo būdą. Vartotojui atisiuntus užkrėstą bylą į savo kompiuterį, virusas aktyvuojamas ją klausant. Tuomet infekuojami visi kompiuteryje esantys „*.mp3“ formato failai. Be to, kenkėjiška programa sudaro visos diskiniuose kaupikliuose esančios muzikos katalogą ir keitimosi bylomis tinklais nusiunčia jį į RIAA. „Gobbles“ teigimu, „trojanas“ šiuo metu jau užkrėtė 95 proc. visų kompiuterių, prijungtų prie keitimosi bylomis tinklų.

Tiesa, jokių įrodymų, kad egzistuoja kenkėjiška programa, keitimosi muzika tinklų vartotojus skundžianti RIAA, nėra. „Bugtraq“ atsiųstame laiške buvo pridėtas tik „kirminas“, išnaudojantis operacijų sistemai „Linux“ skirto „mpg123“ grotuvo buferio perpildymo klaidą. Ar egzistuoja kitų populiarių muzikos klausymo programų klaidas išnaudojantys virusai, kol kas neaišku.

Tačiau „kirminas“, išnaudojantis „mpg123“ pažeidžiamumą, yra gana pavojingas. Pasak antivirusinę programinę įrangą gaminančios kompanijos „Symantec“, įvardijusios šią kenkėjišką programą, kaip „Trojan.Linux.JBellz“, „kirminas“ plinta „*.mp3“ bylose ir aktyvavus ištrina visą tuo metu atidaryto katalogo turinį. „Trojan.Linux.JBellz“ veikia tik operacijų sistemoje „Linux“. Nustatyta, kad jis pavojingas „SuSe 8.0“ ir „Slackware 8.0“ distribucijoms, o taip pat kai kurioms kitoms, jei jose yra įdiegta „mpg123“ programos 0.59 ar naujesnė versija.

Tačiau „Gobbles“ pranešimas apie RIAA užsakymu atliktus darbus, greičiausiai, yra tik pokštas ir bandymas pritraukti dėmesį.