Złośliwe programy: bootkit na celowniku

Przeczytaj także: Panda: nadchodzi szkodliwy Icepack

W raportach Kaspersky Lab często pojawia się termin MalWare 2.0 oznaczający model złożonych szkodliwych programów, które pojawiły się pod koniec 2006 roku. Najbardziej typowymi przykładami, a zarazem pierwszymi reprezentantami MalWare 2.0, są robaki Bagle, Warezov oraz Zhelatin.

Model Malware 2.0 charakteryzuje się następującymi cechami:

• brakiem jednego centrum kontroli sieci zainfekowanych komputerów
• aktywnym wykorzystywaniem metod mających na celu uniemożliwienie analizy szkodliwego kodu oraz prób przejęcia kontroli nad botnetem
• krótkotrwałymi masowymi wysyłkami szkodliwego kodu
• skutecznym wykorzystywaniem socjotechniki
• wykorzystywaniem szeregu różnych metod w celu rozprzestrzeniania szkodliwych programów i stopniowym odchodzeniem od wykorzystywania metod przyciągających uwagę (np. e-mail)
• wykorzystywaniem wielu modułów (zamiast jednego) w celu dostarczania różnych szkodliwych funkcji

Ewolucja MalWare 2.0 przysparza branży antywirusowej wielu kłopotów. Największy problem, według ekspertów, polega na tym, że tradycyjne rozwiązania antywirusowe, oparte wyłącznie na wykorzystywaniu sygnaturowej lub heurystycznej analizy plików, nie potrafią skutecznie zwalczać ataków wirusów (nie mówiąc już o leczeniu zainfekowanych systemów).

Spośród incydentów mających miejsce w 2008 roku reprezentujących zagrożenie, jakie stanowi MalWare 2.0, Kaspersky Lab wspomnieć historię rootkita Rustock. W rootkicie tym zaimplementowano wiele nowych technologii, metod i podejść, które mogą mieć istotny wpływ na przyszłą ewolucję MalWare 2.0. Najnowszy z takich incydentów, opisany w raporcie Kaspersky Lab, jasno obrazuje współczesną sztukę wojny, jaka toczy się między twórcami wirusów a firmami antywirusowymi, i pokazuje wagę nowych technologii ochrony.

Interesujący incydent ponownego uruchamiania się komputerów

W połowie sierpnia 2008 r. na forach internetowych użytkownicy zaczęli się skarżyć, że po odwiedzeniu przez nich pewnych stron internetowych ich komputery zaczęły ponownie się uruchamiać. Co spowodowało takie zachowanie komputerów - nie wiadomo. Jedyne możliwe wyjaśnienie sugerowało, że przyczyna restartu komputerów znajduje się na odwiedzonych stronach.

Wstępne oględziny ekspertów, podejrzanych stron niczego nie ujawniły - strony okazały się nieszkodliwe. W większości przypadków, szkodliwi użytkownicy, którzy chcą zainfekować maszyny, włamują się na legalne strony i umieszczają odsyłacze do swoich zasobów, które zawierają exploity na tych stronach. Technika ta nosi nazwę 'drive-by download'. Gdy użytkownik odwiedzi zainfekowaną stronę, na jego maszynie zostanie zainstalowany szkodliwy kod, bez jego wiedzy czy zgody. Jednak na stronie niczego nie wykryto - żadnych podejrzanych ramek iframe czy skryptów.

Problem można było przypisać automatycznemu restartowi systemu Windows po zainstalowaniu aktualizacji; było to dość prawdopodobne, zwłaszcza że incydent ten zbiegł się w czasie z opublikowaniem przez firmę Microsoft najnowszej łaty. Sytuacja okazała się jednak o wiele poważniejsza.

Podczas przeprowadzania dochodzenia eksperci Kaspersky Lab wykorzystali maszyny wirtualne, za pośrednictwem których odwiedzali podejrzane strony. Nie ograniczali się do odwiedzenia tych stron, ale również przechodzili z jednej części strony do innej i klikali odsyłacze. Po pewnym czasie komputer testowy uruchomił się ponownie.

Analiza systemu przeprowadzona przez ekspertów wykazała zmiany w sektorze rozruchowym. Takie zmiany mogły wskazywać na obecność bootkita w systemie. Jednak od marca 2008 roku nie wykryto żadnych nowych wariantów bootkita. Czy to możliwe, że bootkit powrócił?