Ewolucja złośliwego oprogramowania I-III 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania 2005

Po Bube pojawił się Virus.Win32.Nsag, Downloader działający w sposób jeszcze bardziej ukradkowy. Wirus infekuje bibliotekę systemową WININET.DLL, wstrzykując swój złośliwy kod do funkcji HttpSendRequestA. W ten sposób trojan przejmuje kontrolę nad aktywnością sieciową na komputerze ofiary.
Na początku 2006 roku pojawiło się kilka podobnych trojanów, co świadczy o tym, że podziemie komputerowe uważa takie programy za bardzo dochodowe.

Weźmy na początek trojana Trojan-Spy.Win32.Banker.alr. Program ten został stworzony w celu kradzieży informacji z komputera ofiary. Oprócz tego modyfikuje sfc.dll oraz sfc_os.dll w taki sposób, aby uniemożliwić przywrócenie plików systemowych. Podobne trojany pojawiają się dość często, dlatego analitycy Kaspersky Lab postanowili sklasyfikować nowe warianty jako osobną rodzinę.

Trojan.Win32.Patched.a

Trojan.Win32.Patched.a infekuje svchost.exe poprzez dodanie kodu, który załaduje plik o nazwie mshost.dll (Trojan-Spy.Win32.Agent.ki), a następnie uruchomi go w celu wykonania.

Trojan.Win32.Patched.b

Trojan.Win32.Patched.b infekuje wybrany losowo plik systemowy poprzez dodanie kodu, który następnie uruchamia trojana ze strumienia NTFS pliku tekstowego. Nazwa tego pliku tekstowego zazwyczaj jest taka sama jak nazwa zainfekowanego programu. Jeżeli, na przykład, trojan zainfekował plik sysformat.exe, główny komponent trojana zostanie uruchomiony z sysformat.txt (C:\WINDOWS\system32\sysformat.txt:tamrofsys.exe).

Trojan.Win32.Patched.c
Trojan.Win32.Patched.c infekuje wybrany losowo plik systemowy, na przykład notepad.exe. Dodaje on do pliku niewielki fragment kodu, co oznacza, że wraz z notepad.exe z folderu systemowego Windows uruchomiony zostaje plik .log.

Dlaczego trojany te działają w ten sposób i jakie będą przyszłe trendy?

Nie jest żadną tajemnicą, że programy antywirusowe i zapory ogniowe monitorują pewne obszary rejestru systemowego i aktywności sieciowej. Jednak, aby nie zakłócać pracy użytkownika, który zmienia konfigurację systemu, wszystkie rozwiązania służące zapewnieniu bezpieczeństwa posiadają listę wyjątków. W 2005 i 2006 roku mogliśmy się przekonać, że twórcy wirusów wykazują coraz większą inwencją w wykorzystywaniu niestandardowych metod w celu ominięcia i "wyprowadzenia w pole" aplikacji bezpieczeństwa. Metody te obejmują uruchomienie trojana nie poprzez klucz rejestru systemowego Run, ale poprzez aktywowanie zainfekowanego pliku systemowego oraz pobranie programu trojańskiego z pliku explorer.exe lub wininet.dll.

Wykrycie takich czynności jest stosunkowo trudne, poza tym firmy antywirusowe potrzebują dodatkowego czasu na stworzenie procedur wykrywania i leczenia zainfekowanych bibliotek systemowych.

W niedalekiej przyszłości mogą pojawić się złośliwe programy tworzone zgodnie z zasadą: skoro monitorowane są zmiany w konfiguracji modułów systemu operacyjnego, będziemy modyfikowali same moduły. Takie podejście od dawna stosują autorzy wirusów podczas tworzenia rootkitów dla Uniksa.