Ewolucja złośliwego oprogramowania IV-VI 2006

Przeczytaj także: Wirusy, robaki i trojany dla systemów Unix w 2005

Oba robaki rozprzestrzeniają się za pośrednictwem wiadomości e-mail jako zainfekowane pliki Java Script załączone do zainfekowanych wiadomości. Wyglądają jak standardowe strony HTML. W ten sposób zostaje uśpiona czujność użytkowników, którzy myślą, że wirusy rozsyłane są jako pliki wykonywalne lub pliki MS Office. Większość użytkowników nie uważa stron HTML za wykonywalne ani za obiekty, które potencjalnie mogą zawierać złośliwy kod.

Po otwarciu takiego pliku wykonywany jest kod polimorficzny. W rezultacie w systemie zainstalowany zostanie standardowy plik wykonywalny zawierający ciało robaka. Oprócz innych funkcji dodatkowych, robaki zaczynają generować własne kopie jako pliki Java Script. Pliki te tak bardzo różnią się od siebie nawzajem, że nie można znaleźć nawet jednej identycznej kopii - spowodowane jest to funkcją polimorficzną robaka. Pliki te wysyłane są następnie na adresy e-mail zebrane z komputera ofiary i cały cykl zaczyna się od nowa. Aby jeszcze bardziej utrudnić pracę firmom antywirusowym, autorzy tych robaków wypuszczali nowe warianty co dwa trzy dni.

Stare technologie zostały zmodyfikowane, aby dostosować je do nowych warunków. Stosuje się socjotechnikę wykorzystującą fakt, że użytkownicy nie wiedzą, że strony html mogą zawierać złośliwe skrypty. Opracowanie metod wykrywania takich wirusów jest trudne, ponieważ duże znaczenie ma tu szybkość, poza tym legalnie zaszyfrowane strony mogą być przyczyną fałszywych trafień.

Chociaż zarówno technologie wirusowe jak i antywirusowe nieustannie ewoluują, klasyczne podejścia wciąż okazują się najskuteczniejsze. Niestety, istnieje wiele firm antywirusowych, które są zupełnie nowe w branży i nie posiadają dużego doświadczenia w zwalczaniu starych zagrożeń. Wiele nowych technologii, takich jak skanowanie ruchu http w locie, nie znajduje zastosowania w walce z wirusami polimorficznymi.

Koncepcje

Wygląda na to, że twórcom wirusów brakuje inspiracji. Coraz częściej wykorzystują starsze, prawie zapomniane technologie. Tematy wywołujące w ostatnich latach żywą dyskusję, takie jak rootkity, botnety i luki w produktach Microsoftu, nie są już niczym niezwykłym. Szkodliwi użytkownicy nieustannie szukają nowych metod, które mogą wykorzystać do zainfekowania możliwie największej liczby użytkowników. Najbardziej znamienne są programy typu "proof of concept". Być może nie znajdą one powszechnego zastosowania w przyszłości, wciąż jednak oznaczają, że firmy antywirusowe muszą odpowiednio reagować na nowe potencjalne zagrożenie.

Rok 2006 był jednym z najpłodniejszych okresów w całej historii wirusologii komputerowej pod względem "koncepcji". W pierwszym kwartale pojawiły się takie zagrożenia, jak pierwszy trojan dla J2ME (który działał na większości telefonów komórkowych) oraz pierwszy "prawdziwy" wirus dla Mac OS X, a następnie robak rozprzestrzeniający się za pośrednictwem Bluetooth. Naukowcy z Michigan University, sponsorowani przez firmę Microsoft, stworzyli SubVirt, rootkita opartego na technologii maszyn wirtualnych.

Tę nietypową aktywność można wyjaśnić rozbiciem niesławnej grupy twórców wirusów 29A. Udało się tego dokonać dzięki wysiłkom organów ścigania na całym świecie. Grupa ta skupiała wcześniej głównych twórców kodu "proof of concept". Powstałą próżnię wypełniły nowe osoby, które pragnęły zapisać się na kartach historii wirusologii.