Ewolucja złośliwego oprogramowania I-III 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania 2005

W rzeczywistości plik ten zawierał robaka, który został później nazwany Leap. Szkodnik ten rozprzestrzeniał się poprzez IChat. Po przeniknięciu do komputera ofiary infekował aplikacje systemowe (jak klasyczny wirus) nie przestając rozprzestrzeniać się. Leap udowodnił, że OS X podatny jest na infekcje.

Zaledwie dwa dni po wykryciu robaka firmy antywirusowe otrzymały nową próbkę złośliwego programu atakującego OS X, kolejnego robaka, który został następnie nazwany Inqtana. W przeciwieństwie do robaka Leap, szkodnik ten nie infekował plików. Wcześniej podobny wektor infekcji wykorzystywały tylko mobilne złośliwe programy. Inqtana rozprzestrzeniał się poprzez Bluetooth, tak jak Cabir, prawdopodobnie najbardziej znany robak dla telefonów komórkowych. Jest to bardzo interesujący przykład symbiozy, gdzie technologie transmisji danych opracowane dla urządzeń przenośnych zostały następnie wykorzystane do infekowania standardowych komputerów.

Inqtana wykorzystywał lukę w zabezpieczeniu usługi Bluetooth File and Object Exchange (CAN-2005-1333) w OS X v10.4.1, Mac OS X Server v.10.4.1, Mac OS X v10.3.9 oraz Mac OS X Server v10.3.9. Luka ta została załatana przez firmę Apple w czerwcu 2005 roku. Jeśli atakowany komputer przyjął plik, robak próbował uzyskać dostęp do plików i folderów znajdujących się poza ścieżką systemową Bluetooth File and Object Exchange. Następnie Inqtana instalował się do systemu i automatycznie uruchamiał ciągłe skanowanie w poszukiwaniu nowych urządzeń w technologii Bluetooth.

Po kilku dniach udało się zidentyfikować autora robaka Inqtana, którym okazał się Kevin Finisterre, aktywny członek społeczności OSX. W wywiadach udzielonych niektórym mediom wyjaśnił, że napisał szkodnika, żeby zwrócić uwagę (zarówno użytkowników jak i producentów) na kwestie bezpieczeństwa.

Z punktu widzenia firmy Kaspersky, takie metody nie mogą być w żaden sposób usprawiedliwione. Z reguły nie prowadzą one do naprawienia problemów, za to dostarczają twórcom wirusów gotowy kod złośliwy. Takie niezależne badania ułatwiają również życie hakerom. Najbardziej niepokojące jest to, że stają się one coraz powszechniejsze. W pierwszym kwartale 2006 roku odnotowano kilka przypadków stworzenia i opublikowania - rzekomo dla celów naukowych - potencjalnych technologii wirusowych.

Przyszłość wirusów: rootkity vmware, rootkity sektora startowego, backdoory bios

Najbardziej interesującym wydarzeniem z dziedziny "teoretycznej wirusologii komputerowej" było stworzenie trzech programów typu Proof of Concept (PoC) - wyłącznie w celach naukowych. Jednakże wykorzystane technologie mogą stanowić poważne zagrożenie: podziemie komputerowe bez wątpienia zastanawia się, jak mogłoby je wykorzystać w przyszłości.

Pierwszą z tych technologii jest prototypowy backdoor, umieszczony w sektorze startowym, który przejmuje kontrolę przed startem systemu operacyjnego. Taki sposób ładowania się backdoora pozwala mu na modyfikowanie wielu funkcji systemowych. Backdoor ten został po raz pierwszy zaprezentowany opinii publicznej przez firmę eEye Digital Security w sierpniu 2005 roku.