Ewolucja złośliwego oprogramowania I-III 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania 2005

Było to dość nieoczekiwane posunięcie. Od początku branża antywirusowa kierowała się pewnymi zasadami, do których należało również regularne wymienianie się próbkami z innymi firmami. W tym celu firma nie musi być członkiem innej organizacji. Dodatkowo, jeśli chodzi o wirusa typu Proof of Concept, firmy przekazują sobie próbki tak szybko jak to tylko możliwe, aby zapewnić ochronę maksymalnej liczbie użytkowników. Taka współpraca to standard. Firmy antywirusowe rywalizują ze sobą tylko w dziedzinie marketingu i usług.

Nic dziwnego, że firmy antywirusowe odmówiły wstąpienia do tak mało znanej organizacji - czy warto przydawać rozgłosu i wiarygodności takiej grupie z powodu jednego wirusa? Wątpliwości wzbudzali również niektórzy członkowie tej organizacji. MARA liczyła około 10 członków, z których większość nie była znana w branży antywirusowej, ponadto nie można było się z nimi skontaktować. Najbardziej znanym członkiem organizacji był dr Cyrus Peikari, autor książek na temat bezpieczeństwa oraz dyrektor generalny AirScanner, niewielkiej firmy tworzącej oprogramowanie antywirusowe dla telefonów komórkowych. Peikari stał się znany po opublikowaniu kodu źródłowego WinCE.Duts wraz z artykułem analitycznym, który stanowił swego rodzaju przewodnik dla twórców wirusów dla Windows Mobile. Najbardziej Nniepokojące było to, że współautorem tego artykułu był Ratter, członek grupy 29A, do której należą twórcy wirusów. To właśnie Ratter był autorem wirusa Duts i przekazał jego kod źródłowy Peikariniemu.

W wyniku niezaaprobowanej przez branżę antywirusową współpracy Peikariniego z twórcami wirusów ucierpiała zarówno jego własna reputacja jak i reputacja AirScanner. Wirus wieloplatformowy, który otrzymał od organizacji MARA nazwę Crossover, wywołał mnóstwo wątpliwości. Nie było jasne, dlaczego firmy antywirusowe musiały wstąpić do MARA, aby otrzymać próbkę, podejrzenia rodziła również współpraca Peikariniego ze znanym twórcą wirusów.

Inna niewyjaśniona kwestia dotyczyła wysłania wirusa do członka grupy MARA, a nie - tak jak zwykle ma to miejsce w przypadku wirusów Proof of Concept - do firmy antywirusowej. Branża antywirusowa postanowiła zerwać kontakty z MARA. 8 marca 2006 roku Cyrus Peikari opublikował szczegółową analizę wirusa Crossover, łącznie z jego kodem. Powstał więc kolejny podręcznik pisania wirusów dla Windows Mobile. Nie podano żadnego współautora, a ze strony organizacji MARA usunięto listę członków.

Branży antywirusowej udało się w końcu uzyskać próbkę wirusa, któremu nadano nazwę Cxover. Po uruchomieniu Cxover skanuje system operacyjny. Jeśli został uruchomiony na komputerze PC, wirus szuka dostępnych urządzeń przenośnych za pomocą ActiveSync, a następnie kopiuje się na nie. Po przeniknięciu do telefonu lub urządzenia PDA Cxover próbuje ponownie skopiować się do komputera PC. Potrafi również usuwać pliki użytkownika z urządzeń przenośnych. Cxover udowodnił, że możliwe jest stworzenie wirusa, który będzie funkcjonował zarówno na komputerach osobistych, jak i na urządzeniach przenośnych. Jego kod źródłowy został opublikowany, wkrótce przekonamy się, jakie będą tego konsekwencje. Jedna rzecz jest pewna - wirusy takie nie pozostają już tylko w sferze teorii.