Ewolucja złośliwego oprogramowania I-III 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania 2005

Współczesny Cryptonomicon: nowe ofensywy, nowe defensywy

Branża antywirusowa nieustannie śledzi rozwój złośliwego kodu. Autorzy wirusów i ich "twory", ciężka artyleria w wojnie cybernetycznej, napotykają na swej drodze pancerz tworzony przez branżę antywirusową. Twórcy wirusów zawsze będą o krok wyprzedzali firmy antywirusowe, które mogą tylko jak najszybciej reagować na nowe zagrożenia. Branża antywirusowa wykorzystuje nowoczesne technologie, takie jak ochrona proaktywna, analiza heurystyczna czy emulacja, które znacznie utrudniają stworzenie niewykrywalnego wirusa. Jednak niektóre z zagrożeń "przyszłości" pojawiają się już teraz. Aby je zwalczać firmy antywirusowe będą musiały stworzyć nowe technologie.

Firma Kaspersky pisała już o przypadkach, gdy cyberprzestępcy, zamiast wykorzystywać po cichu zainfekowane komputery użytkowników (kradnąc z nich hasła, wykorzystując je do tworzenie sieci maszyn zombie itd.), uciekają się do bezpośredniego szantażu, żądając od swoich ofiar okupu. Obecnie metoda ta realizowana jest na dwa sposoby: poprzez szyfrowanie danych użytkownika lub modyfikowanie informacji systemowych.

Użytkownicy szybko zauważają, że z ich danymi nie wszystko jest w porządku. Kontaktuje się z nimi szkodliwy użytkownik z żądaniem przelania określonej sumy na jego konto EGold, Webmoney albo inne. Wysokość okupu zależy od tego, jak zasobna w mniemaniu szantażysty jest jego ofiara. Znane są przypadki, gdy użytkownik miał zapłacić 50 dolarów, ale również takie, gdy szantażyści żądali ponad 2 tys. dolarów. Pierwszy taki przypadek szantażu miał miejsce w 1989 roku. Obecnie metoda ta zyskuje coraz większą popularność.

W 2005 roku najbardziej znanym przykładem tego typu cyberprzestępstwa były ataki przeprowadzone przy użyciu trojanów GpCode i Krotten. Pierwszy z nich szyfruje dane użytkownika; drugi modyfikuje rejestr systemowy komputera ofiary, co powoduje, że komputer przestaje działać.

Największą aktywnością wykazał się autor trojana GpCode - w zeszłym roku analitycy z firmy Kaspersky Lab wykryli ponad dwa tuziny różnych wariantów tego modułu szyfrującego pliki. Chociaż autor nieustannie zmieniał algorytm szyfrowania, analitycy z Kaspersky Lab zawsze potrafili go złamać, a następnie dodać do antywirusowych baz danych procedury wykrywania i deszyfrowania. Nie było potrzeby tworzenia specjalistycznych narzędzi.

Od 2006 roku autorzy podobnych programów próbowali radykalnie zmieniać wykorzystywane metody szyfrowania w celu utrudnienia branży antywirusowej deszyfrowanie danych. W styczniu pojawił się GpCode.ac, najnowszy wariant tego trojana.