Ewolucja złośliwego oprogramowania I-III 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania VII-IX 2006

W 2005 r. autor Vikinga nie był szczególnie aktywny, wypuszczając średnio tylko jeden nowy wariant tego robaka co dwa miesiące. Jednak w kwietniu, wraz z opublikowaniem Viking.h stał się bardziej płodny i do września 2006 r. liczba znanych wariantów tego robaka przekroczyła 30. W tym czasie w Chinach wybuchła epidemia na skalę porównywalna do tej spowodowanej przez robaka Warezov.

Każdego tygodnia wykrywano dziesiątki nowych modyfikacji Vikinga, który był rozprzestrzeniany za pośrednictwem dziesiątek tysięcy chińskich stron internetowych. Szybko stało się oczywiste, że mamy do czynienia z epidemią krajową.

To właśnie Viking zapewnił Chinom pierwsze miejsce pod względem liczby szkodliwych programów. Również z powodu tego szkodnika nastąpił znaczny wzrost liczby robaków sieciowych. Są to programy, które rozprzestrzeniają się za pośrednictwem lokalnych sieci oraz infekują pliki. Jednak ich liczba jest zwykle niewielka.

Kolejną chińską zagadkę specjaliśći z Kaspersky Lab napotkali zimą 2007 r. Wiele nowych wariantów Vikinga tak bardzo różniło się od pierwotnego wariantu, że zaklasyfikowano je do nowej rodziny: Fujack. Decyzja ta zbiegła się w czasie z kolejną epidemią. W styczniu i lutym Fujack stanowił główny problem chińskich użytkowników, a informację o "wirusie pandzie" (nazwa pochodzi od tego, że ikonki zainfekowanych plików zamieniane były na ikonkę pokazującą pandę) można było znaleźć na wszystkich głównych azjatyckich stronach informacyjnych.

Nasuwa się pytanie: w jaki sposób robak, który nie wykorzystywał do swojego rozprzestrzeniania ani sieci, ani poczty elektronicznej zdołał rozprzestrzenić się w tak dużej liczbie i dlaczego miało to miejsce właśnie w Chinach?

Główną rolę odgrywały tu następujące czynniki:

• W porównaniu z innymi krajami, w chińskim segmencie Internetu zjawisko współdzielenia plików występuje na stosunkowo szeroką skalę.

W Chinach znajdują się tysiące serwerów, które pełnią rolę ogromnego magazynu plików. W sytuacji, gdy piractwo stanowi jedyny sposób, w jaki użytkownicy mogą zdobyć program, który chcą mieć, takie serwery stają się niezwykle popularne. Jest całkiem prawdopodobne, że na takich serwerach można znaleźć każdy program, jaki kiedykolwiek został napisany. Jeśli użytkownicy wymieniają się plikami, wystarczy jeden zainfekowany plik na takim serwerze, aby ofiarą infekcji padły tysiące ofiar. Strony, które rozprzestrzeniały robaki Viking oraz Fujack, były stronami umożliwiającymi współdzielenie pików.

• Wirus został rozprzestrzeniony przez więcej niż jedną osobę. Twórcy wirusa sprzedawali ekskluzywne warianty Fujacka przeznaczone do kradzieży danych użytkownika dotyczących gier online. Przyczyniło się to do powstania ogromnej liczby wariantów i kilku źródeł, z których rozprzestrzeniany był robak.
• Ogromny rozmiar sieci lokalnych, przede wszystkim na chińskich uniwersytetach. Jak tylko wirus przedostanie się do takiej sieci, będzie mógł bardzo szybko zainfekować tysiące komputerów z otwartymi zasobami sieciowymi.

Jak podkreśla autor raportu, był to przykład szczególnego typu epidemii, która nie mogła zdarzyć się nigdzie indziej poza Chinami. Pomimo liczby infekcji wirus nie był w stanie przekroczyć granic narodowych i nie odnotowano znacznej liczby infekcji w Europie czy Stanach Zjednoczonych.