Ewolucja złośliwego oprogramowania IV-VI 2006

Przeczytaj także: Wirusy, robaki i trojany dla systemów Unix w 2005

Twórcy wirusów nie próżnowali od ostatniego raportu kwartalnego. Poniżej zaprezentowane zostały nowe złośliwe programy typu "proof of concept", na które analitycy natrafili w ciągu ostatnich trzech miesięcy.

Zacznijmy od pierwszego wirusa dla kolejnego produktu Microsoftu - MS Publisher. Program ten jest jednym z najstarszych produktów tej firmy i - jak wskazuje jego nazwa - służy do tworzenia materiałów biznesowych i marketingowych. Był on bardzo popularny w latach dziewięćdziesiątych, jednak stopniowo konkurencja przejęła jego udział w rynku. Aż do teraz twórcy wirusów nie byli szczególnie zainteresowani tym programem. Jednak pogoń za uznaniem skłoniła autorów złośliwego kodu do bliższego przyjrzenia się temu rozwiązaniu. Jest całkiem prawdopodobne, że wirus dla MS Publishera powstał tylko po to, aby udowodnić, że możliwe jest stworzenie złośliwego kodu dla praktycznie całego zestawu produktów firmy Microsoft.

Wirus ten został stworzony przez Ukrainkę, znaną w kręgach twórców wirusów jako Patiavara. W kwietniu 2006 roku Patiavara wysłała swojego wirusa dla programu MS Publisher 3.0 firmie Kaspersky Lab; nazwany został Avarta.

Z powodu błędów w procedurze rozprzestrzeniania się i zbyt oczywistej funkcji destrukcyjnej Avarta nie miałby szans na wolności. Trzy, cztery lata temu stanowiłby interesujący przykład zastosowania nowych technologii. Jednak makrowirusy praktycznie już wymarły i Avarta był jedynie wirusem typu "proof of concept", który nigdy nie mógłby stać się rzeczywistym zagrożeniem.

W okresie tym sporym zainteresowaniem cieszyły się również wirusy wieloplatformowe (tj. wirusy, które mogą jednocześnie działać na dwóch i większej liczbie platform, na przykład w systemach Windows i Linux). Koncepcja wieloplatformowych złośliwych programów powstała już jakiś czas temu; w kwietniu otrzymaliśmy próbkę najnowszego programu tego typu. Bi.a potrafi infekować pliki w bieżącym folderze, określając system (Windows lub Linux), w którym plik został uruchomiony i w zależności od tego wykorzystuje odpowiedni algorytm do infekowania plików.

Ujawniając informacje na temat Bi wywołaliśmy zamieszanie w społeczności linuksowej. Do dyskusji włączył się nawet Linus Torvalds. Po tym jak zapoznał się z wynikami analizy wirusa Bi i dowiedział się, że kod zawiera błędy, przez które wirus ten nie mógł działać w niektórych jądrach Linuksa, opublikował łatę. Faktem jest, że wirusy wieloplatformowe dla systemów Windows i Linux wciąż pozostają w sferze zainteresowań twórców wirusów, którzy bez wątpienia będą nadal rozwijali ten rodzaj złośliwego kodu.

Inną ciekawostką był Gabol, wirus atakujący pakiet Matlab, który pojawił się na przełomie kwietnia i maja. Został napisany we wbudowanym języku skryptowym Matlaba i miał na celu infekowanie wszystkich plików roboczych, zapisując swoje ciało na początek każdego pliku. Xic.a, kolejny wirus dla Matlaba, był bardziej złożony i wykorzystywał technologie polimorficzne (patrz wyżej). Ze względu na niewielkie rozpowszechnienie pakietu Matlab trudno wyobrazić sobie wykorzystanie tych wirusów do spowodowania ogromnej liczby infekcji. Nie ma zatem wątpliwości, że programy te zostały napisane w celu pokazania możliwości ich autorów.