Ewolucja złośliwego oprogramowania IV-VI 2006

Przeczytaj także: Wirusy, robaki i trojany dla systemów Unix w 2005

Na złamanie 260-bitowego klucza autor Gpcode'a odpowiedział opublikowaniem kolejnej wersji. Gdy zastosował 330-bitowy klucz, stawka wzrosła i niektóre firmy antywirusowe poddały się. Jednak analitycy z Kaspersky Lab zdołali złamać ten klucz w niecałe 24 godziny.

Mimo to autor Gpcode'a wciąż nie zamierzał się poddawać. 7 czerwca 2006 roku tysiące rosyjskich użytkowników pobrało z zainfekowanej strony na swój komputer wirusa Gpcode.ag. Ten ostatni wariant wykorzystywał 660-bitowy klucz - najdłuższy, jaki został kiedykolwiek złamany. Szacuje się, że przy użyciu komputera z procesorem 2,2 GHz złamanie takiego klucza zajęłoby co najmniej 30 lat. Mieliśmy jednak szczęście - nasi analitycy w ciągu jednego dnia zdołali dodać do antywirusowych baz danych procedury deszyfrowania dla plików, które zostały zaszyfrowane przy użyciu tego klucza. W tym miejscu nie będę wdawał się w szczegóły, wystarczy powiedzieć, że złamanie tego klucza zapisze się wielkimi literami na kartach historii wirusologii komputerowej.

Chociaż analitycy Kaspersky Lab zajęci byli tworzeniem algorytmu deszyfrującego, postaraliśmy się również, aby zamknięto stronę, na której znajdował się złośliwy program. Następnego dnia strona ta nie była już dostępna. W momencie pisania tego artykułu nie wykryto żadnych nowych wariantów Gpcode'a. Jednak kolejny wariant, z dłuższym kluczem, może pojawić się w każdej chwili.

Metody stosowane przez wirusa w celu rozprzestrzeniania się są wyjątkowo nowatorskie - atakował on jeden z najpopularniejszych rosyjskich portali przeznaczonych dla ludzi poszukujących pracy. Kandydaci, którzy wyrazili zainteresowanie oferowanymi miejscami pracy, otrzymywali wiadomość, która wyglądała jak odpowiedź na ich zapytanie, w rzeczywistości jednak zawierała trojana. Zastosowanie socjotechniki zapewniło wysoki współczynnik infekcji wśród potencjalnych ofiar.

Spójrzmy w przyszłość i spróbujmy przewidzieć, w jakim kierunku może ewoluować wykorzystywanie szyfrowania asymetrycznego w złośliwych programach. Chociaż w przeciągu stosunkowo krótkiego czasu zdołaliśmy odszyfrować 330- i 660-bitowe klucze, klucze takiej długości już teraz wyznaczają granice współczesnej kryptografii. Gdyby RSA (lub inny podobny algorytm wykorzystujący klucz publiczny) został właściwie zaimplementowany w nowym szkodniku, firmy antywirusowe byłyby bezsilne, nawet gdyby do odszyfrowania klucza wykorzystano maksymalną moc obliczeniową. Według mnie, jedynym zabezpieczeniem jest regularne sporządzanie kopii zapasowych wszystkich dokumentów, baz danych i pocztowych. Oczywiście firmy antywirusowe muszą nieustannie pracować nad ochroną proaktywną, która uniemożliwi szkodliwym użytkownikom szyfrowanie lub archiwizowanie danych użytkowników.

Niestety autorzy Gpcode'a, Cryzipa i Krottena wciąż przebywają na wolności. Jednak nawet gdyby zostali aresztowani, nic nie powstrzyma innych agresorów przed zaimplementowaniem takich technologii w celu osiągnięcia korzyści finansowych. Z tego względu programy z kategorii RansomWare będą nadal przyprawiały branżę antywirusową o ból głowy, przynajmniej jeśli chodzi o najbliższą przyszłość.
Skrypty polimorficzne

Termin polimorfizm stosowany jest w odniesieniu do wirusów komputerowych od 1990 roku. Polimorfizm ewoluował z prostego szyfrowania XOR do złożonych metamorfoz stosujących skomplikowane algorytmy, łącznie z algorytmami kryptograficznymi. Na ich temat powstało wiele artykułów i rozpraw naukowych.