Śmierć robaków komunikatorów internetowych?

Przeczytaj także: Inteligentny robak

W odpowiedzi na wzrost współczynników wykrywania robaków z tej rodziny przez ochronę proaktywną firmy Kaspersky Lab autor (lub autorzy) zaczęli wykorzystywać inną, nieznaną jeszcze w tym czasie kompresję UPack. W czasie pisania (tego artykułu) UPack był jednym z najpowszechniej wykorzystywanych programów pakujących przez twórców złośliwych programów.

Dwa tygodnie po pojawieniu się pierwszego robaka Bropia wykryto pierwszego Kelvira. Te dwie rodziny są do siebie bardzo podobne, z jedną istotną różnicą.

Zarówno Bropia jak i Kelvir zawierają IRCBoty. Głównym celem tych robaków jest zainstalowanie programu IRCBot.

Podczas gdy Bropia rozsyłany jest jako jeden plik zawierający robaka komunikatorów internetowych, w którym jest osadzony IRCBot, Kelvir zazwyczaj przedostaje się do komputera jako samorozpakowujące się archiwum (RAR), które zawiera dwa oddzielne pliki - jest to robak komunikatorów internetowych i IRCBot.

Wczesne warianty robaków Bropia i Kelvir były regularnie umieszczane na holenderskich serwerach. To, jak również fakt, że Holandia posiada jeden z najwyższych na świecie odsetków użytkowników komunikatorów MSN w połączeniu z brakiem świadomości niebezpieczeństwa ze strony robaków komunikatorów internetowych, spowodowało znaczną liczbę lokalnych epidemii.

Programy IRCBot wykorzystywane były do masowej instalacji AdWare. Jest zatem całkiem prawdopodobne, że ich autorzy - którym płacono za każdy program adware zainstalowany na komputerze - osiągali spore zyski.

Prex, trzecia z opisywanych tutaj rodzin, oparta jest na kodzie z robaków Bropia/Kelvir. Robaki z rodziny Prex zostały zaklasyfikowane na początku do klasy trojanów komunikatorów internetowych (Trojan-IM), a nie robaków komunikatorów internetowych (IM-Worm). Powodem było to, że Prex rozprzestrzenia odnośnik do IRCBota, a nie do samego siebie. Zgodnie z klasyfikacją wirusów firmy Kaspersky Lab, programy takie są trojanami, a nie robakami. Jednak ze względu na to, że pliki na serwerach internetowych zawsze mogą zostać zmienione, zdecydowaliśmy się zaliczyć ten rodzaj złośliwego oprogramowania do klasy robaków komunikatorów internetowych. W rzeczywistości wciąż toczy się dyskusja, czy złośliwy program tego typu, który rozprzestrzenia się za pośrednictwem komunikatorów internetowych jest trojanem czy robakiem.