Ewolucja złośliwego oprogramowania I-III 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania 2005

W celu stworzenia rootkita Proof of Concept dla Windows XP naukowcy wykorzystali kod źródłowy Virtual PC, gościnny złośliwy system operacyjny i zmodyfikowali niektóre sterowniki systemu operacyjnego użytkownika. Pomimo pozornego zagrożenia ze strony tego rootkita uważamy, że nie ma potrzeby wywoływania alarmu. Po pierwsze, napisanie takiego rootkita jest trudne i chociaż wykorzystuje on gotowy silnik VMM, ogromna większość twórców wirusów nie posiada odpowiednich umiejętności.

Po drugie, nie można ukryć dodatkowego poziomu pomiędzy sprzętem a systemem operacyjnym, ponieważ obecność takiego poziomu będzie miała wpływ na funkcjonowanie zaatakowanego komputera:

• spowolni sekwencję rozruchu
• spowoduje obciążenie procesora i spowolni działanie systemu
• zmieni rozmiar dostępnego obszaru na dysku (rootkit wykorzystujący maszynę wirtualną potrzebował 100 - 200 MB)
• praca z plikami graficznymi będzie utrudniona z powodu prymitywnej emulacji sterownika karty graficznej
• zmodyfikowane zostaną pliki systemowe niezbędne do prawidłowego działania systemu operacyjnego z emulowanym (nieprawdziwym) sprzętem.

Po trzecie, wykrycie wirtualnego rootkita jest stosunkowo łatwe. Poza opisanymi wyżej symptomami, najprostszym sposobem na zidentyfikowanie takiego złośliwego kodu jest uruchomienie komputera z urządzenia zewnętrznego, a następnie przeskanowanie z niego dysku twardego. Jeśli rootkit wykorzystujący wirtualną maszynę będzie emulował ponowne uruchomienie systemu, co według naukowców miało miejsce podczas ich testów, a rootkit przejmie kontrolę i ukryje się, użytkownik będzie musiał tylko wyciągnąć wtyczkę z gniazdka.

SubVirt razem z BootRoot firmy eEye sygnalizują początek epoki, w której użytkownicy będą potrzebowali ochrony sprzętowej. Oprócz kodów Proof of Concept, które mogą mieć decydujący wpływ na zagrożenia wirusowe w nadchodzących latach, nieustannie pojawiają się nowe wcielenia starych technologii, które zostały ulepszone i dostosowane do nowych okoliczności. Najbardziej widać to na przykładzie klasycznych infektorów plików - obecnie złośliwe programy tego typu modyfikowane są w taki sposób, aby mogły wprowadzać swój kod do innych programów.

W 2004 roku wykryto backdoora Backdoor.Win32.PoeBot. Szkodnik ten działa według następującego schematu: szkodliwy użytkownik konfiguruje znanego backdoora, w tym przypadku z rodziny Backdoor.Win32.SdBot, i przy użyciu technologii EPO (Entry Point Obscuring - ukrywanie punktu wejściowego) wstrzykuje go do popularnego programu, takiego jak WinRar. Program ten jest następnie rozprzestrzeniany w ten sam sposób co programy trojańskie. W rezultacie firmy antywirusowe będą wolniej reagowały na takie zagrożenie, gdyż wymagają one zlokalizowania złośliwego oprogramowania i wykluczenia możliwości fałszywych alarmów w stosunku do programu-nośnika (w tym przypadku WinRar), w przeciwnym razie legalne oprogramowanie będzie wykrywane jako złośliwe - niestety zdarza się to wielu firmom antywirusowym.

W 2005 roku pojawił się Virus.Win32.Bube. Ta rodzina wirusów-trojanów infekuje plik EXPLORER.EXE, a następnie kilka razy na godzinę próbuje pobrać inne programy trojańskie. Bube skutecznie przemienia EXPLORER.EXE w program Trojan-Downloader.